L'Agrément Hébergeur de Données de Santé (HDS)

0
1052

LOGO-OPPIDAL’Agrément Hébergeur de Données de Santé (HDS), et la certification ISO 27001, convergence et divergences?
Une différence de nature
Dans un premier lieu, il est important de noter que l’agrément HDS et la certification ISO 27001 n’ont pas la même nature. L’obtention de l’agrément HDS est OBLIGATOIRE pour pouvoir entrer sur le marché de l’informatique de santé en matière d’hébergement ou de traitement de données de santé à caractère personnel, le contrevenant étant dans l’illégalité.
Quant à la certification ISO 27001, il s’agit d’un atout commercial et systémique. Non-obligatoire mais garant d’un certain niveau de qualité et de professionnalisme vis-à-vis de l’état de l’art en matière de sécurité des systèmes d’information. Elle permet cependant pour celui qui la détient de renforcer la CONFIANCE à l’égard des parties prenantes (métiers, clients, fournisseurs, actionnaires). Elle est toutefois vivement conseillée pour le développement de tous projets IT à l’international.
Cette remarque faite, il est nécessaire qu’un candidat potentiel à ces qualifications sache se situer dans ses besoins à courts, moyens et longs termes car il n’est pas forcément pertinent ni possible de mener de front les deux projets, du moins, pas sans une certaine méthode…
Une différence de culture
Dans un second temps il est nécessaire de comprendre la différence de principe entre l’HDS et l’ISO 27001. L’HDS est un référentiel qui a pour vocation de formaliser les activités relatives à la gestion et à l’exploitation d’un service informatique traitant de données de santé à caractère personnel ; l’ISO 27001 et quant à elle, une norme internationale ayant pour but de formaliser la construction et le fonctionnement d’un Système de Management de la Sécurité de l’Information (SMSI). En pratique, la manière de penser le SI peut être légèrement différente selon les deux approches mais il s’agit surtout d’une divergence d’étude pour les organismes délivrant agréments ou certifications. En effet, l’analyse des dossiers HDS sera majoritairement porté sur les écarts vis à vis de l’état de l’art SSI tandis que l’audit de certification ISO 27001 doit principalement servir à attester de la mise en place et du fonctionnement du SMSI.
Du coup, comment concilier les deux?
C’est simple, l’agrément HDS est basé à la fois sur le décret du 4 janvier 2006 et sur les bonnes pratiques de l’ISO 2700x, vous commencez à voir où je veux en venir?
Bien sûr, il existe des liens forts entre l’agrément HDS et une certification ISO 27001. En schématisant grossièrement, les puristes m’en excuseront, nous pouvons dire que la matière commune entre le référentiel HDS et le référentiel ISO 27002 (Annexe de l’ISO 27001) représente l’état de l’art en matière de sécurité informatique pragmatique (avec quelques nuances qui ont tendance à s’atténuer avec le temps entre les mises à jour du standard ISO 2700x et les prises de décision et précisions de l’ASIP Santé).
Que reste-t-il de spécifique aux deux parties alors?
Du côté de l’HDS, nous pouvons bien entendu noter la prise en compte du droit des patients, naturellement absent dans le standard ISO mais également une vision plus précise des attentes relatives à la pérennité des données et de la gestion des traces d’accès à celles-ci.
Du côté de l’ISO 27001 ? Des précisions claires sur les mécanismes du système de management de la sécurité du système d’information.
Dans quel ordre devrions-nous gérer ces projets?
Tout dépend de votre situation.
Quel est votre besoin ?

  • Est-ce que votre entreprise a un besoin pressant d’entrer sur le marché de l’informatique de Santé? Devez-vous traiter ou héberger des données de Santé dans un futur proche? Dans ce cas la réponse est claire: Commencez par une candidature à l’agrément HDS!
  • Vous avez du temps devant vous? Commencez-également par l’agrément HDS!
  • Vous ne vous souciez pas de données de santé? Ne commencez PAS par l’agrément HDS!

 
L’idée est finalement assez simple. Le référentiel HDS couvre des exigences à caractère majoritairement pragmatique, ayant une incidence directe sur les activités de l’entreprise et régulant la prise en compte de la sécurité dans le service proposé à l’agrément. Le référentiel HDS comporte peu d’exigences n’ayant aucun impact direct et le respect de celles-ci apporte un plus indéniable aux activités de l’entreprise. Il ne s’agit donc pas d’un projet inutile issu de l’imagination fertile d’administrations en mal d’agrément.
L’avantage certain de l’obtention d’un agrément HDS est de permettre d’attester d’un niveau confortable de prise en compte de la sécurité informatique et d’initialiser une première boucle d’un futur système de management de la sécurité de l’information (boucle PDCA du SMSI requis par la certification ISO 27001). Être agréé est donc être à mi-chemin d’une certification ISO 27001.
Comment baisser les coûts ?
Le coût global des travaux menant à l’obtention d’un agrément HDS peut varier selon les sociétés et leur niveau de maturité en matière de sécurité informatique (et bien entendu en fonction du périmètre de l’agrément visé) mais il est tout à fait possible de mutualiser ces coûts avec ceux de futurs travaux de certification ISO!
Comme nous l’avons dit précédemment, les référentiels HDS et ISO 2700x sont proches, il convient alors de réaliser des documents et de formaliser des processus prenant en compte à la fois les exigences HDS et celles de l’ISO 27001 (par exemple réaliser une politique de sécurité prenant en compte l’ensemble des thèmes ISO 27001/ISO 27002 pour l’agrément HDS ou faire une analyse de risque basée sur l’ISO 27005).
Il conviendra par la suite de réaliser les documents spécifiques à la certification ISO 27001, mais ceux-ci impacteront bien moins les activités de l’entreprise que les premiers travaux.
En résumé :
Comme pour tout projet, il est essentiel de cadrer le besoin afin de pouvoir déterminer de façon fiable la marche à suivre. Suivant le marché visé ou la stratégie de développement de l’entreprise il sera pertinent de commencer des travaux ISO 27001 ou HDS mais de manière générale une entreprise œuvrant dans le domaine de la santé devrait prendre en compte ces deux aspects, peu importe la direction choisie.
Voir à long terme permet d’économiser des ressources et du budget sachant que l’obtention du double agrément et de la certification permettra à votre entreprise de jouir à la fois d’une ouverture à un marché en plein essor tout en pouvant assurer à vos futurs clients le sérieux de vos activités et de votre gestion interne.
Que demander de plus ?
lo2Loïc THOUVENOT
Consultant SSI spécialisé dans le domaine de la Santé

Laisser un commentaire