Cloud sécurisé et HDS : les activités de santé concernées

Les services cloud offrent agilité, évolutivité et flexibilité, mais la cybersécurité est un enjeu majeur dans le secteur de la santé, où les cyberattaques se multiplient et deviennent plus sophistiquées. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 10 % des victimes de rançongiciels en 2023 étaient des établissements de santé, un chiffre en hausse de 50 % en 2024. Jadis (relativement) épargnés pour des raisons éthiques, les hôpitaux et services de soins sont également devenus des cibles. Dans ce contexte, la certification HDS (remplaçante de l’agrément de l’ASIP Santé depuis 2018) n’est plus seulement une obligation légale : elle s’impose comme une nécessité pour garantir la protection des données de santé dans la transformation numérique. Mais quelles sont les activités de santé concernées par le cloud sécurisé certifié HDS ?

{{cta-infographie-hds="/cta"}}

Cloud sécurisé et HDS : comprendre les enjeux

Les avantages du cloud computing sont nombreux, mais l’adoption du cloud doit s’accompagner d’un choix stratégique pour la sécurité de vos données. Que ce soit pour un cloud public ou un cloud privé.

Qu’est-ce qu’un cloud sécurisé ?

Tous les services de cloud computing offrent un certain niveau de sécurité des données, mais cette sécurité peut varier selon le fournisseur. Le cloud sécurisé est une version renforcée du cloud classique. Il :

• met en œuvre des protocoles avancés de chiffrement de bout en bout (au repos comme en transit) ;
• utilise des méthodes avancées d’identification comme l’authentification multifacteur (MFA) et la gestion des identités et des accès (IAM, Identity and Access Management) ;
• garantit la conformité aux normes règlementaires strictes comme le RGPD, l’ISO 27001 et le HDS, par exemple ;
• met en place des plans de reprise après sinistre et des mécanismes de haute disponibilité des infrastructures et services.

Le cloud sécurisé est particulièrement nécessaire en matière de protection des données des secteurs sensibles comme la santé ou la finance.

Pourquoi une certification HDS ?

En France, l’hébergement cloud des données personnelles de santé est strictement encadré. La certification Hébergeur de données de santé (HDS) est une obligation légale imposée par l’article L.111-8 du Code de la santé publique. Instaurée par l’Agence du numérique en santé (ANS, anciennement ASIP Santé), cette certification garantit un niveau de protection élevé pour ces données sensibles.

Alignée sur des normes comme le RGPD (Règlement général sur la protection des données), la certification HDS impose des exigences spécifiques aux fournisseurs de services cloud :

• sécurisation et maintien en condition opérationnelle de l’infrastructure informatique ;
• administration et exploitation des systèmes d’information ;
• sauvegardes et restaurations des données (backup), etc.

Contrairement à des services hébergés classiques comme Google Drive (un espace de stockage cloud généraliste) un hébergement cloud certifié HDS est conforme aux exigences règlementaires du secteur et respectueux de la vie privée des patients.

👉 Les différences entre IaaS, PaaS, SaaS, DaaS, BaaS pour mieux choisir

Les activités de santé concernées par le cloud sécurisé et la certification HDS

Établissements de soins et de santé

Les hôpitaux, cliniques et cabinets médicaux sont légalement soumis à la certification HDS, car ils gèrent et ont accès à des dossiers médicaux contenant des informations sensibles et confidentielles : les Dossiers patients informatisés (DPI) et les Dossiers médicaux partagés (DMP).

En faisant appel à un cloud sécurisé certifié HDS, les établissements de soins et de santé bénéficient d’un(e) :

• conformité règlementaire tout en étant déchargés de la complexité de sa mise en place ;
• accès sécurisé, en mobilité ou entre services, aux dossiers des patients ;
• meilleure interopérabilité pour les échanges entre hôpitaux et cliniques (synchronisation et partage de fichiers fluide et sécurisé) ;
• sécurisation des résultats d’examens (imagerie médicale, analyses biologiques…).

Télémédecine et services de santé numériques

Les solutions de télémédecine et les services de santé numériques sont également soumis à la certification HDS et au cloud sécurisé, car ils impliquent l’échange de données médicales sensibles au même titre que les établissements de soins et de santé. Néanmoins, les systèmes de prise de rendez-vous médicaux qui ne traitent pas les données médicales des patients ne sont pas soumis à la certification HDS. Ils doivent cependant être conformes au RGPD.

Outre la conformité règlementaire, un cloud sécurisé certifié HDS offre plusieurs avantages aux acteurs de la télémédecine et des services de santé numériques :

• sécurisation des téléconsultations en garantissant la confidentialité et l’intégrité des échanges audio et vidéo ;
• protection des prescriptions numériques grâce à un espace de stockage en ligne et une transmission sécurisés des ordonnances électroniques ;
• hébergement fiable des plateformes de télé-expertise assuré par la sécurité et la disponibilité renforcées ;
• renforcement de la confiance chez les patients et professionnels en matière de sécurité et de confidentialité des données hébergées.

Laboratoires et recherche médicale

Les laboratoires pharmaceutiques et de recherche doivent stocker leurs données médicales sensibles en toute sécurité, qu’il s’agisse d’essais cliniques, de séquençages ADN, d’informations génétiques ou de résultats d’analyses. La certification HDS est obligatoire pour ces activités, sauf lorsque les données sont anonymisées.

Les avantages du cloud certifié HDS pour les laboratoires et la recherche médicale sont la/le :

• centralisation et protection des études cliniques grâce à des espaces de stockages cloud sécurisés et une gestion optimisée des données ;
• sécurisation contre les cybermenaces via la protection renforcée contre les accès non autorisés et les pertes de données (ransomware, rançongiciel) ;
• partage hautement sécurisé entre laboratoires et haut niveau de confidentialité ;
• fiabilité et confiance pour garantir l’intégrité des données, essentielle à la validité des recherches.

Éditeurs de logiciels de santé et startups en e-santé

Les éditeurs de logiciels de santé et les startups en e-santé conçoivent des solutions cloud manipulant des données médicales sensibles : dossiers patients, ordonnances électroniques, dispositifs connectés. Les solutions logicielles que proposent ces acteurs sont légalement soumises à la certification HDS, car elle instaure un cadre strict adapté à la protection des données de santé.

Pour ces acteurs, le cloud sécurisé HDS offre plusieurs avantages dont :

• Sécurisation des applications cloud et plateformes de santé : gestion hospitalière, téléconsultations et objets connectés médicaux, etc.
• Protection des données contre les cyberattaques en veillant à chiffrer vos données, renforcer l’authentification et contrôler strictement les accès.
• Respect des exigences légales et garantie de continuité des services informatiques pour les entreprises du secteur.

Les défis qui poussent à utiliser un cloud sécurisé HDS

Face aux cybermenaces croissantes et aux exigences règlementaires, les entreprises du secteur de la santé ne peuvent plus ignorer l’importance de la sécurisation de leurs systèmes d’information. Dans ce contexte, la certification HDS est certes une contrainte légale, mais elle est avant tout un impératif stratégique pour assurer la protection de la vie privée des patients et proposer les meilleurs services de stockage cloud. Mais vous ferez face à plusieurs défis.

Des défis techniques

L’obtention et le maintien de cette certification requièrent la conformité à une liste détaillée d’activités et d’exigences strictes en matière de sécurité pour protéger vos données sensibles. La mise en œuvre de ces mesures est si complexe qu’elle devient un défi majeur pour les organisations du secteur de la santé. De plus, les mesures à prendre pour obtenir la certification HDS et la maintenance de sa propre infrastructure sécurisée (cloud interne) entraînent des coûts élevés. Sans oublier le coût des audits réguliers et des mises à jour nécessaires pour maintenir la conformité. L’exploitation d’un environnement HDS en interne est devenue un défi complexe qui mobilise des ressources informatiques importantes.

{{cta-infographie-hds="/cta"}}

L’utilisation d’un service cloud sécurisé certifié HDS fourni par une entreprise tierce devient donc généralement la meilleure solution conciliant conformité légale, sécurisation des données et optimisation des coûts.

Des défis humains et organisationnels

Les protocoles de sécurité stricts et la surveillance continue (monitoring) d’une infrastructure interne nécessaires à la certification HDS vous imposent l’emploi d’une équipe douée d’une expertise pointue en cybersécurité. Vos collaborateurs doivent ainsi posséder des compétences avancées pour la sécurité de vos données stockées et l’administration des systèmes informatiques de l’entreprise. Cela implique un coût salarial important, sans oublier des difficultés à recruter des profils qualifiés dans un contexte tendu.

L’externalisation vers un fournisseur de services cloud sécurisés certifié HDS vous permet de vous appuyer sur des experts en cybersécurité tout en évitant d’alourdir la masse salariale. Elle offre également une flexibilité accrue face aux évolutions règlementaires et aux nouvelles menaces. Plusieurs acteurs du cloud computing proposent aujourd’hui des solutions conformes aux exigences HDS tels que Google Cloud, Amazon Web Services (AWS), Microsoft Azure, Scalingo et Leviia par exemple.

{{cta-contact="/cta"}}

‍