Sous l’impulsion de l’ASIP, le marché de la protection des données de santé connait un essor important. De nombreux acteurs se mettent en ordre de marche pour s’inscrire durablement dans le paysage « Ma Santé 2022 ». Même si les approches sont différentes, le marché des solutions de protection des données de santé est bel et bien une réalité…
Au début de l’aventure il y a eu l’avènement des applications Web (plateformes en ligne) et les premières applications mutualisées au niveau d’un datacenter. De nos jours, cette approche est entrée dans les mœurs et tend à se généraliser face à la menace de piratage informatique qui pèse de plus en plus lourdement sur les SI des établissements de Santé. Sans aucun doute, les attaques les plus redoutées de nos jours sont de type ransomware. Certes, compte tenu des enjeux, certains établissements et/ou prestataires de progiciels de santé sont enclins à se débarrasser du problème en s’acquittant de la rançon, mais l’assurance d’un retour à la normale après une telle démarche reste encore à prouver… L’objectif d’un ransomware est clair : crypter les données et empêcher le flux de production. Sans restauration du système et des données, toutes les applications sont bloquées. Qui plus est, cette opération de restauration doit être la plus rapide possible, sachant qu’en milieu médical, les temps d’interruption de service doivent être minimisés.
C’est bien là l’un des objectifs de la DSI d’un établissement : éviter l’interruption d’activité au niveau du personnel médical. Par le passé, les risques d’intrusion dans les systèmes étaient plus élevés sachant que l’infrastructure physique (serveurs, réseau, etc.) était gérée directement sur site avec plus ou moins de suivi et de ressources pour assurer ce suivi… Aujourd’hui, le fait que les applications soient hébergées dans des datacenters professionnels dotés du personnel ad hoc minimise les risques. S’ajoute à cela, les normes drastiques de l’hébergement de données de santé qui aident fortement à la sécurisation de l’ensemble. Depuis Janvier 2016, la procédure d’agrément HADS (Hébergeur Agréé de Données de Santé) a été remplacée par une démarche de certification, basée, non plus sur l’analyse d’un dossier, mais sur un audit de certification de type ISO. Dans le cadre de l’agrément HADS, seuls les hébergeurs au sein des datacenters étaient soumis à cette contrainte. Désormais, c’est toute la chaîne applicative qui doit faire l’objet d’une certification, y compris les éventuels sous-traitants dont, par exemple, les infogéreurs de plateforme de sauvegarde. La majorité des solutions se basent sur des principes de détection, de prévention et de récupération. C’est dans cette logique que, dès avril 2018, Kiwi Backup a entrepris sa démarche de certification. Concrètement, la certification HDS couvre, dans son intégralité, le périmètre de la norme ISO 27001 (management de la sécurité des systèmes d’information) mais aussi celui des normes ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des informations personnelles) avec des mesures complémentaires liées aux données de santé. A ce jour, près de 90 sociétés sont référencées auprès de l’ASIP Santé (Agence des Systèmes d’Information Partagés en Santé). La certification telle que décrite par l’ASIP concerne deux périmètres : le certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle et le certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée.
La certification obtenue par Kiwi Backup couvre la mise à disposition et le maintien en conditions opérationnelles de la plateforme d’hébergement et de l’infrastructure virtuelle utilisés pour le traitement des données de santé (activités 3 et 4), l’administration et l’exploitation du SI de santé (activité 5) et la sauvegarde des données de santé (activité 6). Editeur de solutions de sauvegarde de données depuis 2003, Kiwi backup est spécialisé dans la sauvegarde des données stratégiques des entreprises. Ses solutions, également proposées en marque blanche à un réseau national de partenaires, intègrent les technologies les plus performantes du moment pour un coût de sauvegarde parmi les moins chers du marché. Dans le domaine de la Santé, « Kiwi Santé » répond à la problématique de sauvegarde de données médicales à caractère personnel. Pour un établissement de santé, lorsqu’une telle activité est externalisée, elle doit faire l’objet de deux contraintes essentielles : l’obtention du consentement du patient et la conservation des données dans un espace bénéficiant de la certification HDS. Ainsi, outre la plateforme d’hébergement, il faut proposer un ou plusieurs mécanismes de recueil du consentement du patient (idéalement, cette opération devrait être faite en une seule étape et de façon la plus transparente possible pour le patient). Ce sont sur des critères tels que celui-ci que l’on peut comparer les solutions.
Pour répondre au mieux aux exigences de l’ASIP Santé, Kiwi Backup a notamment mis en place un système de management de la sécurité des informations (SMSI) ainsi qu’un ensemble de procédures concernant la sécurité à tous les niveaux de l’entreprise. Un audit de surveillance, un test d’intrusion et un audit interne sont réalisés chaque année dans le cadre du processus d’amélioration continue. Techniquement, les sauvegardes sont sécurisées par un double cryptage des données (protocole SSL 256 bits) : lors du transfert (via un tunnel SSL) et lors du stockage. De plus, sur les serveurs, les données sont fragmentées puis encodées pour garantir la confidentialité. Le principe de stockage en cluster (groupe de serveurs interconnectés et physiquement disposés sur des sites distants) est par ailleurs automatiquement activé. Cette duplication permet de pallier d’éventuels problèmes rencontrés par l’un des serveurs, les autres éléments du cluster prenant immédiatement le relai sans aucune interruption de service pour l’utilisateur. Les sauvegardes sont faites sur des serveurs HDS basés en France (infrastructure OVH) avec un historique de 90 jours. Les sauvegardes sont automatiques et quotidiennes, aucune manipulation, aucun oubli ne peut venir perturber le processus ! Par ailleurs, pendant la sauvegarde, les applications restent exploitables et l’activité suit son cours sans interruption.
Sur ce marché de la protection de données de santé on retrouve aussi ATEMPO, l’un des leaders européens en matière de sauvegarde. Cette entreprise française est présente en Europe, aux États-Unis et en Asie via un réseau de partenaires technologiques, de revendeurs, d’intégrateurs et de fournisseurs de services managés. Atempo propose des solutions logicielles allant de la protection des postes utilisateurs jusqu’aux très grands volumes de données de NAS ou systèmes de fichiers parallèles en passant par la sauvegarde de serveurs applicatifs physiques et virtuels. Pour la solution Lina, qui protège les postes utilisateurs, l’idée de base est de proposer une seule et même solution pour restaurer le système et les données. En couplant le Bare Metal Recovery (BMR) et la sauvegarde en continu (CDP) des données, dont le principe est la capture de toute modification de fichier au fil de l’eau, la solution Atempo permet de réinstaller une machine complète telle qu’elle était avant l’incident. Les ressources réseau et l’espace de stockage sont optimisés grâce à une déduplication réalisée d’une part à la source avant envoi des blocs d’informations et, d’autre part, à l’arrivée sur le serveur de sauvegarde. La solution Tina (Time Navigator) dédiée à la sauvegarde des serveurs applicatifs physiques et virtuels, est, par exemple, mise en œuvre au CH du Jury (près de Metz) ; un établissement spécialisé dans l’accueil des personnes dépressives, souffrant de troubles psychiques ou d’addictions. La sauvegarde concerne la solution Hexagone d’Agfa Healthcare ainsi que divers logiciels métiers. Gérald Piechocki, Chef de projet au CH de Jury, précise que « L’infrastructure 100% VMware comporte une cinquantaine de machines virtuelles dans deux salles machines répliquées. Aucune donnée n’est stockée sur les stations de travail. L’accès aux applications se fait via VPN. Dans un contexte où nous devons réaliser plus avec des budgets toujours plus restreints, le logiciel Tina nous permet de compenser. La politique tarifaire pratiquée par Atempo basée sur une licence au nombre de lits est vraiment avantageuse. Nous utilisons l’intégralité de la solution sans aucune restriction. Cela permet d’installer rapidement un module de sauvegarde sur un nouveau serveur dès que nécessaire. ».
Lire la suite dans notre magazine en version PDF ou version Papier.
Magazine :: mySIH n°°051
