Pourquoi avoir créé une certification pour l’hébergement des données de santé ?

Le secteur de la santé est une cible privilégiée pour les hackers. Le rapport Spotlight 2019 de l’entreprise Vectra met en évidence cette tendance. Selon elle, les secteurs les plus affectés par les ransomwares sont la finance-assurance (35%) et la santé (18%). Une situation qui s’explique par un nombre élevé d’objets connectés dans les établissements de santé et un contrôle des accès trop faible. Tout cela n’a rien de surprenant lorsque l’on sait que les données de santé, des données très sensibles, sont parmi les plus chères sur le darknet. Il est donc essentiel que leur hébergement offre des garanties solides en matière de sécurité.

Pourquoi le secteur de la santé est-il aussi souvent pris pour cible par les pirates informatiques ?

Les exemples ne manquent pas. Le 10 août dernier, l’ensemble du réseau du groupe privé Ramsay-Générale de santé – soit 120 établissements de santé – a été touché par une cyberattaque. Un virus a paralysé les serveurs gérant les infrastructures et les messageries. Selon le site spécialisé TICsanté, en moyenne, quatre hôpitaux français subissent une attaque quotidiennement.

En mai 2019, l’Asip santé (Agence française de la santé numérique) a annoncé que, depuis la mise en place d’un nouveau système de signalement en octobre 2017, 478 incidents ont été déclarés par les établissements de santé.

Un rapport a mis en évidence les neuf raisons qui expliquent l’intérêt des hackers pour le secteur de la santé :

1. Les données de santé à caractère personnel ont une grande valeur pour les hackers
2. Les dispositifs médicaux sont des points d’entrée faciles
3. Le personnel doit avoir accès aux données à distance, ce qui accroît la surface d’attaque
4. Les salariés ne souhaitent pas perturber des habitudes de travail qui fonctionnent avec l’introduction de nouvelles technologies
5. Le personnel de santé n’est pas suffisamment sensibilisé aux risques liés au numérique
6. Le nombre d’appareils utilisés dans les hôpitaux rend la gestion de la sécurité plus difficile
7. Les informations sur les soins de santé doivent être accessibles et partageables
8. Les petites organisations de santé présentent également des risques
9. Une technologie dépassée signifie que l’industrie de santé n’est pas en mesure de faire face aux cyberattaques

Données de santé : de quoi parle-t-on ?

Le règlement européen sur la protection des données personnelles (RGPD) donne une définition depuis avril 2016. Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Comme le précise le site de la CNIL, les informations relatives à la personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services (un numéro, un symbole, un élément attribué à une personne physique pour l’identifier de manière unique à des fins de santé) sont comprises dans la définition fournie par le RGPD.

Lorsque l’on parle de données de santé, on fait également référence aux informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques. La définition de la donénes de santé comprend enfin les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical d’un individu. La CNIL précise que cette définition permet d’englober certaines données de mesures à partir desquelles il est possible de déduire une information sur l’état de santé d’une personne.

Les données personnelles de santé sont des données très sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. Leur hébergement doit, par conséquent, être réalisé dans des conditions de sécurité adaptées à leur criticité.

Hébergement des données de santé : agrément ou certification ?

La réforme de l’hébergement des données de santé a été annoncée en janvier 2016 dans le cadre de la loi sur la modernisation du système de santé. Au départ, l’activité d’hébergement des données de santé était soumise à l’obtention d’un agrément délivré par le ministère de la Santé. Depuis la publication en février 2018 d’un décret relatif à l’hébergement de données de santé à caractère personnel, il faut désormais être certifié par un organisme certifié pour pouvoir héberger des données de santé.

L’ordonnance du 12 janvier 2017, adoptée avec le décret n°2018-137 soumet au dispositif de certification « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social, pour le compte de personne physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

Le champ d’application de la certification HDS correspond aux activités suivantes :

1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
2. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
3. La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
4. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé
5. L’administration et l’exploitation du système d’information contenant les données de santé
6. La sauvegarde de données de santé

A noter tout de même qu’il existe deux niveaux de certification. Les deux périmètres de certificats sont délivrés aux hébergeurs pour deux métiers d’hébergement distincts. Il s’agit tout d’abord d’un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle. Cette catégorie concerne les activités 1 et 2.

Il s’agit ensuite d’un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée. Ce certificat concerne les activités 3 à 6. Lorsque l’activité de l’hébergeur s’inscrit dans les deux types d’activités, ce dernier doit obtenir les deux certifications, comme cela a été le cas pour Oodrive.

Hébergement des données de santé : quels services sont concernés ?

Il est impératif que l’hébergement des données de santé se fasse dans le respect des règles imposées par la législation. Cet hébergement doit être réalisé par un hébergeur certifié. Mais quelles sont les conditions à remplir pour héberger des données de santé à caractère personnel ? C’est ce qui a été déterminé à l’article L.1111-8 du code de la santé publique. Trois grandes catégories de services d’hébergement de données de santé ont été déterminées :

• L’hébergement de données de santé sur support papier. Il doit être réalisé par un hébergeur agréé par le ministère de la Culture
• L’hébergement de données de santé sur support numérique dans le cadre d’un archivage électronique. Il doit être réalisé dans des conditions qui seront définies en Conseil d’Etat pris après avis de la CNIL et des Conseils des ordres des professions de santé
• L’hébergement des données de santé sur support numérique (hors cas d’un archivage électronique). Il doit être réalisé par un hébergeur certifié dans des conditions définies par décret en Conseil d’Etat pris après avis de la CNIL.