Ne pas avoir à choisir entre performance et protection. C’est pour répondre à cette difficile équation que les certifications évoluent dans le domaine des clouds. La suprématie technologique des américains ne doit pas mettre en péril nos données de santé.
LE CLOUD COMPUTING : UNE SOLUTION ADAPTÉE À LA SANTÉ
Au cours des 5 prochaines années, nous produirons 3 fois plus de données que durant les 5 précédentes. Et dans cette course effrénée, la santé n’est pas en reste. Multiplication des applications, télémédecine, panel d’examens plus large, numérisation des résultats… Face à cette explosion, le monde médical a depuis longtemps franchi le cap du cloud computing. Plusieurs arguments ont poussé en ce sens. Selon Guy Fournier, directeur du Service Public OVHcloud, « les progrès des clouds providers ont favorisé ce recours plus systématique. D’autant que, dans le même temps, les premières certifications permettaient de garantir les systèmes et que des outils d’analyse plus poussés voyaient le jour. »
Même si son développement n’est pas sans soulever de nombreuses questions (nous y reviendrons), le cloud répond à quelques préoccupations majeures du secteur de la santé. Face à l’accroissement des données, tout l’écosystème a besoin de stocker de gros volumes de données, d’en assurer la disponibilité, de pouvoir compter sur une puissance de calcul élevée et adaptée, tout en garantissant la sécurité et l’intégrité des informations. « En comparaison avec les baies de stockage, le cloud répond parfaitement aux besoins de la santé qui doit absorber ces volumes. Le coût de la donnée stockée chez un provider est en nette diminution. Avec une grande scalabilité, le cloud computing permet d’établir des plans de production adaptés sur plusieurs années, tandis que l’on serait beaucoup plus contraint en “On-premise”. »
DES INQUIÉTUDES LÉGITIMES
Pour autant, le cloud computing n’est pas une solution miracle. Yohann Dufour, spécialiste du cloud, le résume par cet adage : « Qui dit concentration des ressources, dit concentration des risques. N’oublions pas que le cloud repose sur des data centers qui sont soumis aux mêmes menaces que le On-Premise. Il y a certes plus de surveillance et de sécurité mais les possibilités de dommages collatéraux sont proportionnelles ! »
Et les enjeux sont transfrontaliers. Aux Etats-Unis, le Cloud Act de 2018 prévoit que la justice américaine peut, sous certaines conditions, accéder aux données stockées sur des serveurs, même si ceux-ci sont installés à l’étranger. Dans le cas du Health Data Hub (entrepôt de données de santé prévu par le Ségur du numérique), le choix de la société américaine Microsoft Azure avait ainsi déclenché de nombreux recours. Un conflit qui s’est soldé par l’arrêt « Shrems II » de la Cour de Justice de l’Union Européenne, le 16 juillet 2020, indiquant que « la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. » Le stockage de données personnelles sur des serveurs américains doit donc en l’état actuel de la réglementation « faire l’objet de clauses contractuelles types ainsi que de mesures techniques et organisationnelles adaptées au risque (dont le chiffrement et l’engagement du prestataire américain à s’opposer à toute demande des autorités américaines de communication de données) », explique Marguerite Brac de La Perrière, avocate spécialisée en numérique en santé.
En l’état, compte tenu de l’avancée des services managés outre Atlantique et des offres concurrentielles des prestataires américains, des éditeurs majeurs européens recourent à leurs services pour l’hébergement de leurs données, à l’instar de Doctolib avec Amazon Web Services (AWS), certifié HDS. Le juge administratif a eu, à cet égard, l’occasion de considérer que ce recours à AWS ne comportait pas de risque manifeste, motivant sa position par le fait qu’une procédure précise en cas de demandes d’accès aux données par une autorité publique avait été conclue entre le site et AWS.
Au-delà de ces sujets de droit international, l’encadrement de la fourniture des prestations cloud est délicat. L’avocate Me Marguerite Brac de La Perrière, spécialisée en santé numérique explique la logique contractuelle présidant au recours à des prestataires de Cloud : « Le Cloud est polymorphe et recouvre des réalités techniques, et donc juridiques et contractuelles, très différentes. IaaS (infrastructure as a Service), PaaS (Plateform as a Service) et SaaS (Software as a Service), avec pour chaque typologie de services, une matrice spécifiée de responsabilités entre le prestataire et son client. De plus, la certification HDS (Hébergement de Données de Santé) fait l’objet de zones d’incertitudes, toujours renouvelées, tenant à son champ d’application, à la définition des activités, et à l’articulation avec de nouvelles normes arrivées à maturité telles que SecNumCloud, mais aussi la norme ISO 27701. »
Toujours est-il que « le recours au cloud ne doit absolument pas être systématique ni être considéré comme une réponse à la sécurisation des données, insiste Vincent Templier, RSSI du CHU de Montpellier. Tout dépend de l’objectif à atteindre. » Ainsi, dans son établissement, les données de sauvegarde, chiffrées, peuvent être stockées sur le cloud afin d’ « améliorer la sécurité ». Mais si des données de santé doivent aller sur le cloud, c’est au prix « d’audits réguliers, d’échanges avec le fournisseur et de mise en application rigoureuse des différentes conformités exigées. » Dans tous les cas, il reste nécessaire de faire jouer son libre-arbitre et « que la popularité d’un usage ne soit jamais la condition du choix, souligne Yohann Dufour. Il faut aborder la question du cloud de façon pragmatique ! »
UNE SUPRÉMATIE SANS APPEL
Pour contrer les risques du cloud liés à la législation américaine, la notion de souveraineté (européenne et/ou française) est régulièrement évoquée. Mais les chiffres parlent d’eux-mêmes. Dans ce secteur, les GAFAM captent 69% du marché européen (étude Synergy Research Group – septembre 2021). Les géants du cloud jouissent d’une avance technologique incontournable. Et ce ne sont pas les 2 milliards d’euros annoncés dans le volet numérique du Ségur de la santé en juillet 2020 qui réduiront l’écart significativement.
Le président français l’annonçait lors de sa présentation du Plan de Relance 2030 : la différence d’investissement entre l’Europe et l’Amérique dans le secteur privé du numérique serait d’un facteur 10. Face à ce constat, le dilemme est préoccupant. Il s’agirait de choisir entre la protection de nos données, avec des solutions souveraines, ou la force de frappe des leaders du marché. Une voie sans issue à laquelle de RSSI de Montpellier ne peut se résoudre : « Nous manipulons quotidiennement des données ultra sensibles, sans être vraiment conscients de leur valeur. Il faut à tout prix se les réapproprier. C’est aux entreprises qui veulent atteindre le marché européen et français de s’adapter et de se mettre en conformité avec la réglementation de ses clients. » Une position partagée par beaucoup et qui a finalement conduit à renforcer encore les certifications.
L’ÉVOLUTION BIENVENUE DES CERTIFICATIONS
Signe de l’importance des enjeux, le 21 mai 2021, le gouvernement français dévoilait sa “Stratégie nationale pour le cloud“. Elle prévoit notamment la définition d’une nouvelle certification appelée “Cloud de confiance” qui s’adosse au label “SecNumCloud” de l’ANSSI en la faisant évoluer. Ce dernier « comportait 200 points de sécurité faisant référence au RGS (Règlement Général de Sécurité), rappelle Guy Fournier de OVHcloud, rendant les systèmes d’informations étanches en définissant les niveaux de sécurité des installations, le contrôle des accès, le chiffrement des données ou encore la gestion des incidents. » Première en Europe sur le cloud privé, la société française bénéficiait déjà de ce label et a été l’une des premières à se voir attribuer la certification « Cloud de confiance ».
Cette nouvelle qualification vise à sécuriser à la fois techniquement et juridiquement les services cloud. Elle implique de remplir les exigences de sécurité “SecNumCloud”, d’avoir des infrastructures et des systèmes localisés en Europe et d’assurer le portage commercial et opérationnel du service par une entité européenne. Avec ces labels, OVHcloud compte bien « se poser en alternative aux grands ultrascalers du marché, notamment dans le domaine de la santé. Notre présence en France et en Europe nous permet de travailler avec tout un réseau de partenaires pour identifier les usages pertinents et amener de la puissance dans leur organisation. » Renforcer les certifications renforcera, in fine, la position des acteurs européens dans cet écosystème.
Marion BOIS
Pages extraites sans titre
