Hébergement de Données de Santé : normes, conformité et défis de la certifications 2024

Feb. 13, 2025

Introduction

Face à une montée en flèche des cyberattaques, notamment avec 30 hôpitaux français victimes de rançongiciels entre 2022 et 2023, la sécurisation des données de santé est devenue une priorité nationale.

Mais l’évolution des menaces sur les données de santé n’explique pas à elle seule l’émergence de la certification HDS. Elle n’est que la conséquence d’un contexte changeant autour des données de santé. On constate en effet une complexité croissante des systèmes d’information en général (Cloud en IaaS, PaaS, SaaS, intégration de l’IA etc.) dans lesquels vont s’insérer des données particulièrement sensibles au sens de l’article 9 du RGPD. On retient également une croissance des services numériques associés à la santé (applications mobiles de santé, plateforme de télémédecine, objets connectés, ce qui va engendrer des flux massifs de données sensibles). Enfin, il en résulte également un volume croissant des données de santé avec l’intégration du Big Data nécessitant des capacités de stockage énormes et scalables.

Une fois ce décor posé, on comprend mieux l’émergence de la certification d’Hébergement de Données de Santé (HDS).

La certification HDS s’inscrit dans cette démarche en posant des standards rigoureux pour assurer la sécurité des données sensibles de santé et la résilience des systèmes critiques. La version 2024 de la certification HDS introduit des évolutions significatives, en se basant sur l’ISO 27001:2022, pour mieux répondre aux défis actuels.

Certification d’Hébergement de Données de Santé (HDS) et son intrication avec les normes ISO27 et le RGPD

La certification HDS est une norme réglementaire française qui s'applique aux entreprises hébergeant et traitant des données personnelles de santé. Définie par le Code de la Santé Publique et guidée par les principes du Règlement Général sur la Protection des Données (RGPD), elle impose des critères stricts en matière de protection des données sensibles.

La certification HDS repose également sur des prérequis de la norme ISO 27001, car elle nécessite un Système de Management de la Sécurité de l’Information (SMSI) robuste. Pour cette raison, l’ISO 27001 est un prérequis indispensable pour obtenir la certification HDS.

Par conséquent, une partie de l’audit HDS consistera à contrôler les moyens techniques et organisationnels pour répondre aux besoins de sécurité que sont la confidentialité, l’intégrité et la disponibilité. Aux principes et objectifs posés par ISO 27001, et du référentiel de critères posés par son Annexe A, s’ajouteront des critères propres à la certification HDS.

Le champ d'application personnel : les « hébergeurs » concernés par la certification HDS ?

3 conditions doivent être remplis pour qu’un acteur soit soumis à l’obtention d’une certification HDS :

  1. Toute personne physique ou morale qui héberge des données de santé à caractère personnel ;
  2. Recueillies à l’occasion d’activité de prévention de diagnostic, de soins ou de suivi médical ;
  3. Pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même.

Par exception, un hôpital qui héberge lui-même ses données n’est pas sujet à la certification HDS car le troisième critère n’est pas rempli. En revanche, s’il héberge des données pour un autre hôpital, la condition sera remplie, et la certification devra donc être obtenue.

La certification HDS s’inscrit dans une distribution des rôles tripartite à laquelle peuvent s’ajouter des prestataires tiers :

  1. PII principal (le patient ou « personne concernée ») à l’origine des données de santé à caractère personnel.
  2. PII Controller (ou contrôleur des données personnelles) : Généralement, ce sont les professionnels de santé (hôpitaux, cliniques, cabinets médicaux) qui collectent les données pour le compte des patients.
  3. PII Processor (ou sous-traitant des données personnelles) : Ce sont les hébergeurs qui assurent le stockage et la gestion des données. Seuls eux devront être certifiés HDS.
  4. Prestataires tiers : Certains prestataires, tels que des éditeurs de logiciels ou des entreprises de maintenance peuvent intervenir sans accéder directement aux données. Ils doivent respecter les contraintes de sécurité HDS imposées par leurs clients.

Le champ d'application matériel : les services soumis à une certification HDS.

La certification HDS s’applique à toutes les infrastructures nécessaires au stockage, à l'administration et à la transmission des données de santé. Cela comprend :

  1. Le socle d’infrastructure HDS :
  • Infrastructures matérielles : Les datacenters et autres installations physiques où sont hébergées les données.
  • Infrastructures logicielles : L’infrastructure virtuelle, la plateforme logicielle (OS, middlewares et les bases de données), ainsi que la sauvegarde des données.
  1. L’administration et l’exploitation des systèmes d’information contenant les données de santé :
  • Infogérance applicative : encadrement et gestion des tiers non-HDS amenés à accéder via le Socle d’infrastructure HDS à l’Application métier. Les utilisateurs finaux (PII principal) et responsable de traitement (PII controller) ne sont pas concernés.
  • Infogérance technique : maintien en condition de sécurité du socle d’infrastructure HDS et le centre de support client.

Pour plus de granularité, nous vous renvoyons aux six niveaux de prestation d’hébergements sur le site de l’ANS.

Ces éléments sont soumis à des normes strictes, avec des exigences spécifiques pour assurer leur sécurité physique et logique. Le référentiel HDS, mis à jour en 2024, précise que chaque composant de l'infrastructure doit être évalué pour sa sécurité et sa conformité.

Le socle de sécurité de la certification HDS

La certification HDS impose des exigences de sécurité basées sur l'ISO 27001:2022, intégrant des contrôles spécifiques pour le secteur de la santé. Les exigences suivantes constituent ce socle de sécurité :

  1. Cloisonnement
  • Séparation des environnements : Les données de santé doivent être strictement séparées des autres types de données, avec des environnements de développement, de test et de production isolés.
  • Contrôle des accès : L'accès aux données doit être limité par un système de gestion des droits, avec des rôles et des responsabilités clairs pour chaque employé ou prestataire impliqué.
  1. Moindre privilège

Le principe du moindre privilège impose que chaque utilisateur n'ait accès qu'aux informations strictement nécessaires à l'exécution de ses tâches :

  • Limitation des droits d’administration : Les comptes disposant de privilèges élevés doivent être limités et leur utilisation contrôlée.
  • Révision périodique des accès : Les privilèges d'accès doivent être régulièrement réévalués pour s'assurer qu'ils restent appropriés aux fonctions des utilisateurs.
  1. Gestion des changements

La gestion des changements est essentielle pour adapter l’infrastructure sans compromettre la sécurité :

  • Contrôle des modifications : Chaque modification, qu’elle soit technique ou organisationnelle, doit être évaluée pour ses impacts potentiels sur la sécurité.
  • Suivi des changements : Un suivi est mis en place pour s'assurer que les mises à jour et changements n'introduisent pas de nouvelles vulnérabilités.
  1. L’intégration de la sécurité dans la conception (security by design)

Le concept de security by design impose que les dispositifs de sécurité soient intégrés dès la conception des systèmes et non ajoutés après coup :

  • Sécurité intégrée : Les dispositifs de sécurité doivent être planifiés et intégrés dans chaque étape du développement de nouveaux systèmes ou infrastructures.
  • Adaptation aux évolutions : Le système doit être conçu pour pouvoir intégrer facilement des mises à jour de sécurité, garantissant ainsi sa résilience à long terme.
  1. Traçabilité et non-répudiation

Chaque action doit être traçable, et il doit être impossible pour un utilisateur de nier une opération réalisée :

  • Journalisation des accès : Toutes les tentatives d'accès, réussies ou échouées, sont enregistrées.
  • Auditabilité : La certification HDS impose des audits réguliers pour vérifier que les journaux de traçabilité sont complets et intacts.
  • Gestion des accès administratifs via un bastion : Les accès administratifs aux systèmes critiques doivent être centralisés et sécurisés via un bastion
  1. Authentification renforcée

L'authentification renforcée vise à s'assurer que seules les personnes autorisées peuvent accéder aux systèmes de données de santé :

  • Des mots de passe robustes : doivent être standardisés la complexité et le renouvellement des mots de passe pour réduire les risques liés aux mots de passe compromis.
  • Authentification multi-facteurs (MFA) : La certification impose souvent l'utilisation de méthodes de vérification supplémentaires pour valider l'identité des utilisateurs.
  • Détection des anomalies d’accès : Les systèmes doivent être capables de détecter et de signaler les comportements inhabituels ou suspects,

L'apport de la nouvelle version 2024 de la certification :

Voici les principaux changements apportés par la nouvelle certification HDS 2024, basés sur la transcription du webinaire :

  1. Alignement avec l'ISO 27001:2022 : La nouvelle certification HDS se base sur la version mise à jour de l’ISO 27001 (2022), renforçant ainsi l'intégration entre les deux normes. Cela signifie que les organisations certifiées HDS devront disposer d'un Système de Management de la Sécurité de l'Information (SMSI) aligné avec les exigences ISO 27001. Ce SMSI HDS doit intégrer des processus d’amélioration continue, de maintenance et de suivi de l’efficacité des mesures de sécurité, ce qui marque un changement important par rapport aux anciennes versions de la norme.
  2. Inclusion des parties intéressées et des exigences spécifiques aux données de santé : La nouvelle version exige que les organisations identifient toutes les parties intéressées, ce qui inclut non seulement les clients, mais aussi l’ensemble des sous-traitants, fournisseurs, et partenaires jouant un rôle ou une influence sur la sécurité des données de santé. Cela est particulièrement pertinent pour la gestion de la chaîne de sous-traitance, qui devient un point central de la certification. Par ailleurs, les objectifs de sécurité doivent maintenant explicitement intégrer la protection des données de santé, et la direction doit démontrer un engagement en termes de moyens alloués à ces objectifs.
  3. Contrôle des sous-traitants : La certification HDS 2024 impose aux hébergeurs de surveiller les changements apportés aux mesures de sécurité par leurs sous-traitants, ce qui inclut la maîtrise des interventions, la conformité aux certifications et la gestion des incidents. Les organisations doivent être en mesure de démontrer qu'elles ont des processus de contrôle de leurs sous-traitants pour garantir une gestion sécurisée de la chaîne d'approvisionnement.
  4. Nouvelles exigences contractuelles : Les contrats entre les hébergeurs et leurs clients doivent désormais inclure des clauses spécifiques pour garantir la traçabilité des données, la sécurité des traitements, et la transparence dans la localisation des données. Les contrats doivent également mentionner explicitement les exigences de chiffrement des données de santé (au repos ou en transit) pour atténuer les risques d’accès non autorisés, en particulier en cas de transfert ou d’accès depuis des pays tiers.
  5. Souveraineté des données : La nouvelle version renforce les exigences de localisation des données dans l'Espace Économique Européen (EEE). Les hébergeurs doivent spécifier précisément les lieux d'hébergement et s'assurer que les transferts de données, s’ils ont lieu vers des pays hors de l’EEE, soient en conformité avec le RGPD. La nouvelle certification exige que toute information sur les transferts de données vers des pays tiers soit documentée et portée à la connaissance du client.
  6. Gestion des risques renforcée : La nouvelle HDS 2024 introduit des critères de gestion des risques qui incluent la perte de contrôle sur les supports de stockage et la compromission des données. Les organisations doivent intégrer des processus spécifiques de gestion de crise pour prévenir et atténuer les impacts d’incidents de sécurité.
  7. Surveillance et amélioration continue : La certification 2024 met l’accent sur la nécessité pour les organisations de surveiller et de piloter leurs objectifs de sécurité en continu, avec une évaluation systématique de l’efficacité des processus. Les audits de transition imposeront une vérification des mises à jour des systèmes de gestion pour garantir que les processus définis fonctionnent réellement et respectent les nouvelles exigences.
  8. Nécessité de formation et de compétences en interne : Enfin, la nouvelle certification met en avant l’importance de former les équipes internes et de renforcer les compétences en matière de SMSI et de HDS. Les auditeurs internes devront être formés à la nouvelle norme pour s'assurer que les organisations sont capables de maintenir un haut niveau de sécurité de l’information.

  Les différentes étapes du processus de certification HDS

La certification Hébergement de Données de Santé (HDS) suit un processus structuré en quatre grandes étapes à minima :

1. Cadrage et analyse des risques

La première étape consiste à définir le périmètre de certification. Cela inclut :

  • Identification des actifs critiques : Les systèmes, applications, et infrastructures concernés par la certification.
  • Analyse des risques : Selon la méthodologie définie par l’ISO 27005, il s’agit d’évaluer les menaces potentielles, leurs impacts sur les données de santé, et les vulnérabilités des systèmes. Par exemple, on identifie les risques liés aux cyberattaques, aux pannes d'infrastructure, ou à des erreurs humaines.
  • Définition des responsabilités : Chaque acteur impliqué dans le processus de certification, des administrateurs systèmes aux responsables de la sécurité (RSSI), se voit attribuer des rôles clairs.

Le cadrage est essentiel pour concentrer les efforts de sécurité sur les éléments critiques et garantir un audit efficace.

2. Implémentation

Une fois les risques identifiés, l’organisation passe à l’implémentation des mesures nécessaires pour répondre aux exigences du référentiel HDS. Cela inclut :

  • Mise en place de processus de sécurité : Déploiement de la Politique Générale de Sécurité des Systèmes d’Information (PGSSI), des politiques de cloisonnement, de limitation des privilèges, et des processus de gestion des incidents.
  • Rédaction des documentations : Élaboration de la déclaration d'applicabilité (SOA), qui liste les contrôles de sécurité mis en œuvre, et des procédures opérationnelles nécessaires.
  • Déploiement de solutions techniques : Implémentation d'outils comme des systèmes de journalisation (logs), des solutions de chiffrement des données, et des plateformes d’authentification renforcée (MFA).

Cette phase demande une coordination étroite entre les équipes techniques et les responsables du système de management de la sécurité de l'information (SMSI).

3. Audit interne

Avant de passer à la certification officielle, un audit interne est réalisé pour s'assurer que toutes les exigences sont respectées. Cette étape permet :

  • D’identifier les non-conformités : Vérification des écarts éventuels entre les processus implémentés et les exigences de la certification HDS.
  • De tester les procédures mises en place : Simulation d’incidents, tests de continuité d’activité, et validation des accès aux données.
  • D’améliorer les processus : Les non-conformités détectées lors de cet audit sont corrigées avant l’audit officiel.

Un audit interne efficace prépare l'organisation et limite le risque d'échec lors de l’audit de certification.

4. Audit de certification

L’audit de certification est conduit par un organisme agréé, accrédité par le COFRAC. Cet audit a pour objectif de valider la conformité de l’organisation par rapport aux exigences HDS. Il inclut :

  • Examen des documentations : Validation de la déclaration d’applicabilité et des politiques de sécurité.
  • Inspection sur site : L’auditeur examine les infrastructures, vérifie la sécurité physique des datacenters, et analyse les systèmes d’information.
  • Interviews : Les responsables techniques et administratifs sont interrogés pour évaluer leur compréhension et leur maîtrise des mesures mises en place.

En cas de succès, un certificat HDS est délivré pour une durée de trois ans, avec des audits de surveillance annuels pour vérifier la pérennité des mesures.

Conclusion : La certification HDS, un atout stratégique pour les entreprises de santé

La certification HDS ne se limite pas à une simple conformité réglementaire : elle constitue une véritable stratégie pour les entreprises du secteur de la santé. En structurant et renforçant leur sécurité globale, les organisations certifiées démontrent leur capacité à prévenir et à gérer efficacement les cybermenaces, protégeant ainsi les données sensibles qui leur sont confiées. Cette démarche proactive permet également d’anticiper un durcissement législatif et des contrôles de plus en plus stricts, renforçant leur résilience face aux exigences réglementaires croissantes.

Enfin, la certification HDS confère un avantage commercial non négligeable. Elle inspire confiance auprès des patients, des professionnels de santé et des partenaires institutionnels, tout en permettant aux entreprises de se positionner favorablement sur des marchés exigeants, notamment lors des appels d’offres. Dans un contexte où la sécurisation des données de santé est devenue une priorité nationale et européenne, la certification HDS s’impose comme un véritable levier de compétitivité et un pilier essentiel de la confiance numérique.

 Sources:

Presse:

https://www.lesechos.fr/economie-france/social/trente-hopitaux-francais-victimes-dune-cyberattaque-en-deux-ans-2130193

Articles du code de la santé publique qui définissent le champs d'application du référentiel HDS: L.1111-8, R.1111-8-8 et R.1111-9 du code de la santé publique.

  • Référentiel d'accréditation HDS

https://esante.gouv.fr/sites/default/files/media_entity/documents/referentiel_accreditation_hds---fr---v2.pdf

  • Référentiel de certification Hébergeur de données de santé (HDS) :

https://esante.gouv.fr/sites/default/files/media_entity/documents/referentiel_certification_hds---fr--v2.pdf

 

Florian COULON
Consultant GRC

Recents posts

object.title

Déploiement Azure Virtual Desktop en toute sécurité avec Terraform

Aujourd’hui, nous allons parler d’Azure Virtual Desktop, d’encryption et de …
object.title

Perspectives et retours d'expérience sur le DevSecOps Days JFrog Paris …

EveryOps Matters : vers une convergence Dev, Sec, Ops et …
SQUAD PARIS

49 rue du Faubourg Poissonnière
Escalier droit
75009 PARIS
FRANCE
Phone: +33 9 51 69 99 96

SQUAD AIX-EN-PROVENCE

Horizon Sainte Victoire, Bât. A
970 rue rené Descartes
13290 Aix-en-Provence
FRANCE
Phone: +33 9 73 67 37 85

SQUAD TOULOUSE

Ailes de l’Europe Bât. Sigma
39 chemin des Ramassiers
31770 Colomiers
FRANCE
Phone: +33 9 73 61 75 64

SQUAD NICE (Sophia)

980 Avenue Roumanille, Bât. B - 1er étage
Fairway
06410 Biot
FRANCE
Phone: +33 9 50 95 95 03

SQUAD LYON

Westfield La Part-Dieu
92 Av. Félix Faure
Bat le BE
2ème étage du bâtiment A1
69003 Lyon
FRANCE
Phone: +33 9 80 56 94 32

SQUAD NANTES

Bâtiment Euptouyou
4 rue Edith Piaf
44800 Saint Herblain
FRANCE
Phone: +33 9 51 69 99 96

SQUAD RENNES

Hiptown Cyberplace,
1217 Avenue des Champs Blancs,
35510 Cesson-Sévigné
FRANCE
Phone: +33 9 51 69 99 96

SQUAD BORDEAUX

Phone: +33 9 73 61 75 64

SQUAD LILLE

Bureau 208
40 place du Théâtre
59000 Lille
FRANCE
Phone: +33 9 51 69 99 96

SQUAD CANADA

2800 – 680 Boul. René-Levesque Ouest Montréal (Québec) H3B1S6
CANADA
contact@squad.fr

SQUAD SWITZERLAND

Cornavin Station, Rue de Lausanne 15
1201 Genève GE
SWITZERLAND

2025 © Squad All Rights Reserved.