HDS et ISO 27001, incompatible?

L'Agrément Hébergeur de Données de Santé (HDS), certification ISO 27001, un sésame pour certains, une corvée pour d'autres, comment y voir plus clair ? Par Loïc Thouvenot

L'Agrément Hébergeur de Données de Santé (HDS), certification ISO 27001, un sésame pour certains, une corvée pour d'autres, comment y voir plus clair ?

Par Loïc Thouvenot, Consultant Sécurité, expert HDS

 

Dans un premier lieu, il est important de noter que l'agrément HDS et la certification ISO 27001 n'ont pas la même nature. L'obtention de l'agrément HDS est OBLIGATOIRE pour pouvoir entrer sur le marché de l'informatique de santé en matière d'hébergement ou de traitement de données de santé à caractère personnel, le contrevenant étant dans l’illégalité.

Quant à la certification ISO 27001, il s'agit d'un atout commercial et systémique.

Nonbligatoire mais garant d'un certain niveau de qualité et de professionnalisme vis-à-vis de l’état de l’art en matière de sécurité des systèmes d’information. Elle permet cependant pour celui qui la détient de renforcer la CONFIANCE à l’égard des parties prenantes (métiers, clients, fournisseurs, actionnaires). Elle est toutefois vivement conseillée pour le développement de tous projets IT à l’international.

Cette remarque faite, il est nécessaire qu'un candidat potentiel à ces qualifications sache se situer dans ses besoins à courts, moyens et longs termes car il n'est pas forcément pertinent ni possible de mener de front les deux projets, du moins, pas sans une certaine méthode...

Du coup, comment concilier les deux?

C'est simple, l'agrément HDS est basé à la fois sur le décret du 4 janvier 2006 et sur les bonnes pratiques de l'ISO 2700x, vous commencez à voir où je veux en venir?

Bien sûr, il existe des liens forts entre l'agrément HDS et une certification ISO 27001. En schématisant grossièrement, les puristes m'en excuseront, nous pouvons dire que la matière commune entre le référentiel HDS et le référentiel ISO 27002 représente l'état de l'art en matière de sécurité informatique pragmatique (avec quelques nuances, qui ont tendance à s'atténuer avec le temps entre les mises à jour du standard ISO 2700x et les prises de décision et précisions de l'ASIP Santé).

Que reste-t-il de spécifique aux deux parties alors?

Du côté de l'HDS, nous pouvons bien entendu noter la prise en compte du droit des patients, naturellement absent dans le standard ISO mais également une vision plus précise des attentes relatives à la pérennité des données et de la gestion des traces d'accès à celles-ci.

Du côté de l'ISO 27001 ? Des précisions claires sur les mécanismes du système de management de la sécurité du système d'information.

Dans quel ordre devrions-nous gérer ces projets?

Tout dépend de votre situation. Est-ce que votre entreprise a un besoin pressant d'entrer sur le marché de l'informatique de Santé? Devez-vous traiter ou héberger des données de Santé dans un futur proche? Dans ce cas la réponse est claire: commencez par une candidature à l'agrément HDS!

Vous avez du temps devant vous? Commencez-également par l'agrément HDS!

Vous ne vous souciez pas de données de santé? Ne commencez PAS par l'agrément HDS!

L'idée est finalement assez simple. Le référentiel HDS couvre des exigences à caractère majoritairement pragmatique, ayant une incidence directe sur les activités de l'entreprise et régulant la prise en compte de la sécurité dans le service proposé à l'agrément. Le référentiel HDS comporte peu d'exigences n'ayant aucun impact direct et le respect de celles-ci apporte un plus indéniable aux activités de l'entreprise. Il ne s'agit donc pas d'un projet inutile issu de l'imagination fertile d'administrations en mal d'agrément.

L'avantage certain de l'obtention d'un agrément HDS est de permettre d'attester d'un niveau confortable de prise en compte de la sécurité informatique et d'initialiser une première boucle d'un futur système de management de la sécurité de l'information (boucle PDCA du SMSI requis par la certification ISO 27001). Être agréé est donc être à mi-chemin d'une certification ISO 27001.

Le coût global des travaux menant à l'obtention d'un agrément HDS peut varier selon les sociétés et leur niveau de maturité en matière de sécurité informatique (et bien entendu en fonction du périmètre de l'agrément visé) mais il est tout à fait possible de mutualiser ces coûts avec ceux de futurs travaux de certification ISO!

Comme nous l'avons dit précédemment, les référentiels HDS et ISO 2700x sont proches, il convient alors de réaliser des documents et de formaliser des processus prenant en compte à la fois les exigences HDS et celles de l'ISO 27001 (par exemple réaliser une politique de sécurité prenant en compte l'ensemble des thèmes ISO 27001/ISO 27002 pour l'agrément HDS ou faire une analyse de risque basée sur l'ISO 27005).

 

Il conviendra par la suite de réaliser les documents spécifiques à la certification ISO 27001, mais ceux-ci impacteront bien moins les activités de l'entreprise que les premiers travaux.