Le CH de Saint-Lô certifié Hébergeur de Données de Santé et ISO27001

Le centre hospitalier de Saint-Lô a fait le choix stratégique d’être son propre hébergeur du système d’information de 2 établissements, Saint-Lô et Coutances, en direction commune depuis une quinzaine d’années. Ce choix fait en 2011 a permis depuis de créer un SIH multi Entité Juridique avant même que les CHT puis GHT ne voient le jour. L’obtention de ces 2 certifications est l’aboutissement de 10 ans de mise en place des organisations et des projets.

Le périmètre fonctionnel du SMSI-HDS est celui des activités d’Hébergement de Données de Santé pour le compte des établissements de Coutances et de Carentan, établissements Partis du GHT. Les 6 activités HDS (hébergeur info géreur et hébergeur d’infrastructure physique) sont assurées sur le site de Saint-Lô.

La sécurité de l’information pour le GHT Centre Manche ?

La sécurité de l’information du GHTCM est un dispositif global dont la mise en oeuvre permet de garantir que l’information est

• Disponible : garantir que les utilisateurs habilités ont accès à l'information et aux ressources associées au moment voulu
• Confidentielle : garantir que seules les personnes habilitées peuvent accéder à l´information -
• Tracée : tracer les connexions au SIH
• Intègre : sauvegarder l'exactitude et la fidélité d'information et des méthodes de traitement des données

Francis Breuille, DSI du GHT Centre Manche : « La cybersécurité est devenue un enjeu majeur pour nos établissements. Force est de constater que la sécurité de l'information c'est 80% d'organisation et 20% de technologie ! Notre volonté de nous faire certifier est d’abord et avant tout une démarche portée par la Direction générale, démarche d’amélioration continue, volontariste et qui s’inscrit dans la durée. DSI de GHT, RSSI, RSMSI et DPD de GHT, PGSSI et PSSI définies et appliquées, communication auprès des utilisateurs du SIH, sont devenus des éléments incontournables du quotidien du DSI que je suis »

Pourquoi le CH de Saint-Lô est concernÉ par les certifications HDS et ISO27001 ?

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet »

La certification des Hébergeurs de Données de Santé a remplacé depuis avril 2018 l’agrément HDS, jusqu’alors délivré par l’ASIP Santé. La certification HDS vient renforcer les exigences de sécurisation des données de santé au travers d’un audit de certification contrairement à l’agrément HDS qui était délivré sur une base déclarative. L’ISO27001 atteste quant à elle de la conformité du système de management de la sécurité de l’information (SMSI).

N’ayant pas été agréé HDS, le CH de Saint-Lô, hébergeur de données de santé des CH de Coutances et Carentan s’est vu au regard de la réglementation actuelle dans l’obligation d’obtenir la certification HDS. Elle permet de garantir un haut niveau de sécurité de données à travers la structuration du système d’information et l’adoption d’une démarche d’amélioration continue.

Cette obligation est d’autant plus justifiée qu’on assiste à une explosion de la cyber menace avec les attaques de rançongiciel accompagnées par l’exfiltration des données pour le chantage au paiement qui visent notamment le secteur de la santé, proie facile et rentable, les données médicales étant les données les mieux vendues sur le Darkweb.

Les objectifs du CH de Saint-Lô au lancement de la démarche de certification

• Adopter de bonnes pratiques
• Investir efficacement dans la sécurité de l’information
• Avoir un système documenté (procédures, politiques…) et structuré, basé sur le concept de l’amélioration continue sur la sécurité de l’information
• Garantir une protection de l’information pour assurer la confidentialité, la traçabilité, l’intégrité et la disponibilité

L’audit de Certification

L’accompagnement en amont de cette certification a été réalisé par Orange Cyber Défense.
L’audit de certification a été réalisé par CERTI-TRUST, choisi par le CH de Saint-Lô et cet audit a été réalisé en octobre dernier. L’audit en lui-même s’est déroulé en 2 temps avec :

• Un audit documentaire : il s’agit d’une revue documentaire du système d’information de Le CH de Saint-Lô afin de déterminer sa conformité aux exigences de la certification HDS.
• Un audit sur site : l’auditeur, CertiTrust, s’est rendu chez l’hébergeur, le CH de Saint-Lô pour vérifier la conformité technique et organisationnelle présentée lors de l’audit documentaire. La certification HDS est renouvelée tous les trois ans lors d’un audit de renouvellement et après des audits de suivi auxquels le CH de Saint-Lô, hébergeur certifié HDS, doit se soumettre chaque année.

Le CH de Saint-Lô précurseur

Le CH de Saint-Lô devient le premier Centre Hospitalier à obtenir ces deux certifications et renforce ainsi sa position d’établissement moderne, innovant et ambitieux.