HDS et ISO27001, protégez vos données sensibles

Vous lancez un projet tech lié à des données sensibles ? Padok est certifié Hébergeur de Données de Santé (HDS) et vous accompagne dans la construction et l'infogérance de votre infrastructure cloud.

Protéger ses données sensibles
Sante-V01-HD

Nos certifications

Tout comprendre sur la certification HDS

Nous avons bien conscience qu’il s’agit d’une norme difficile à appréhender. Nous répondons ci-dessous aux questions qui reviennent régulièrement quand on parle d’Hébergement de données de santé et de norme ISO27001.

1. Certification HDS et certification ISO27001, qu’est-ce que c’est ?

La certification ISO27001 est une norme internationale qui démontre que vous avez construit un système de management de la sécurité de l’information (SMSI) robuste. Cette norme permet d’assurer la confidentialité, la disponibilité, l’intégrité et la traçabilité de l’information afin de se protéger contre les cyberattaques ou tout autre type de risques. Il est obligatoire d’avoir la certification ISO27001 pour obtenir la certification HDS (Hébergeur de données santé). HDS est une surcouche encore plus contraignante de ISO27001, auxquelles doivent obligatoirement se conformer les acteurs de la santé. 

Les entreprises qui manipulent des données de santé doivent se conformer à la réglementation HDS quelque soit leur taille ou leur type d’hébergement (On premise ou Cloud). Par ailleurs, de nombreuses entreprises hors du domaine de la santé (finance, défense etc…) décident de se conformer aux exigences HDS, même si elles ne sont légalement pas contraintes de le faire. 

Vous entendrez souvent parler de “niveaux” concernant la certification HDS. Voici à quoi cela correspond :
Les niveaux 1 et 2 concernent les serveurs physiques. Ainsi, si vous en possédez vous aurez besoin de ces deux premiers. 
Les niveaux 3, 4, 5 et 6 encadrent les environnements applicatifs. Ils sont obligatoires, peu importe votre type d’hébergement (cloud ou physique). 


Résumons, si vous avez vos propres serveurs physiques, vous serez donc évalués sur les niveaux 1 à 6. Si vous êtes sur le Cloud, votre Cloud provider supportera lui-même la certification niveaux 1 et 2, et vous serez évalué sur les niveaux 3 à 6. 

Si votre activité vous oblige à héberger des données de santé, vous avez deux possibilités. Soit, vous entrez en contact avec un organisme de certification tel que l’AFNOR, BSI Group, Bureau Veritas… et commencez le processus de certification. Soit, vous passez par un prestataire certifié HDS pour construire, améliorer, maintenir et sécuriser votre infrastructure selon la réglementation. Padok est l’un de ces prestataires. 

C’est une question complexe qui dépend des enjeux de votre entreprise. Mais il y a tout de même deux grandes questions que vous pouvez vous poser pour faire votre choix. La première question étant : Ai-je les ressources internes (humaines et financières) pour passer la certification et la maintenir ? 
Pour vous donner un ordre d’idée, il faudra compter environ 150 000 € pour passer la certification, en prenant en compte le coût de la certification et le coût des ressources humaines. Les années suivantes, il faudra compter environ 20 000 € juste pour maintenir la certification.
La seconde : ai-je besoin d’être en conformité dans moins d’un an ou à plus long terme ? Passer cette certification représente un délai à prendre en compte. 

Si vous avez les ressources et une année devant vous, prenez contact avec les organismes de certification précédemment cités. Si ce n’est pas le cas, il est alors conseillé de se tourner vers un infogéreur HDS certifié. 

Padok est certifié HDS et ISO27001

Niveaux 3, 4, 5, 6

Padok est agréé HDS depuis 2022 par BSI Group. Voici le libellé exact de notre certification : “Conception, sécurisation et infogérance d’infrastructure Cloud hébergeant des données personnelles de santé avec couverture de l’activité ANS numéro 3, 4, 5, 6 du système de référence HDS version 1.1 (2018) conformément à la déclaration d’applicabilité DDA 08/02/22”. 

Nous construisons et administrons votre infrastructure cloud pour héberger en toute sécurité vos données exposées en conformité avec HDS, que ces dernières soient liées à la santé ou tout simplement sensibles. Nous appliquons donc les normes les plus exigeantes en matière de sécurisation de données.
certification HDS

Certification HDS

Certification ISO27001

Certification ISO27001

Nos offres HDS et ISO27001

Nous avons 3 offres pour répondre à vos besoins en matière de conformité HDS et ISO27001. Pour chacune de ces offres, nous vous accompagnons pour vous aider à appréhender ces normes et à les interpréter.

Demandez votre devis
Infogérance ISO27001 HDS

Infogérance ISO27001 et HDS

Vous souhaitez maintenir votre infrastructure et vos données les plus sensibles au plus haut niveau de sécurité ? Padok étant certifié “Hébergeurs de données de santé”,  nos experts assurent quotidiennement le maintien en conformité des normes HDS et ISO27001. Nous vous garantissons ainsi l’application des pratiques les plus exigeantes en matière de sécurité de données, et vous donnons une visibilité complète sur notre intervention.
Si vous souhaitez en savoir plus sur notre offre d’infogérance, vous pouvez vous rendre sur notre page dédiée.

Audit HDS

Audit ISO27001 & Audit HDS

Vous souhaitez évaluer le niveau de sécurité de vos données par rapport aux exigences les plus élevées ? Nos experts auditent votre infrastructure selon les critères de ces normes et vous font des recommandations actionnables et priorisées pour atteindre le niveau requis, en fonction de votre entreprise. Il est important de préciser qu’un audit ne garantit pas une conformité HDS. En effet, les critères doivent être validés de manière durable pour être conformes. Faire un audit HDS ne permet donc en aucun cas d’avoir le tampon “certifié Hébergeurs de données de santé”.

Build ISO27001 HDS

Build ISO27001 et HDS

Vous hébergez des données sensibles et souhaitez construire ou faire évoluer votre infrastructure cloud ? Nos experts DevOps vous accompagnent sur tous vos projets impliquant des données sensibles. Que ce soit pour implémenter les recommandations de notre audit, construire une nouvelle infrastructure ou encore la faire évoluer pour la mettre au niveau des standards de qualité et de conformité HDS de Padok. Nous nous assurons que la mise en conformité ne ralentira pas vos développeurs et que des mises en production quotidiennes seront possibles.

Notre framework de conformité

YAMAS, notre framework de conformité

Nos ingénieurs ont conçu un framework, nommé YAMAS, qui permet d’évaluer rapidement selon 60 critères votre niveau de sécurité au regard des normes ISO27001 et HDS. D’abord conçu pour les données de santé, nous avons décliné ses exigences de protection à tous nos projets critiques. Une grande partie de ces critères sont automatisés. Vous savez ainsi en un coup d’œil les chantiers à mener. Cet outil nous permet de vous apporter un maximum de transparence sur ces normes, à tout moment de votre projet. Il nous sert de base pour nos audits. Il est également utilisé pour l’infogérance HDS afin d’assurer le maintien en conformité. Et il est utilisé sur les projets de build pour vérifier que ce qui est construit est au niveau d’exigence requis.
framework yamas
Notre expertise

Pour rester à la pointe de la technologie

logo-googlecloud-svg Google Cloud Kubernetes Kubernetes

docker Docker

Azure Microsoft Azure

aws Amazon Web Services

Prometheus Prometheus

Nos partenaires

Google Cloud, Amazon AWS, Azure, OVHcloud, Scaleway, et Kubernetes nous font confiance pour implémenter leurs technologies en conformité HDS et ISO27001 chez nos clients.

AWS
GCP
Microsoft Azure
OVHcloud
kubernetes
Scaleway

Pourquoi choisir Padok

  • check-icon

    Un œil extérieur sur votre infrastructure

  • check-icon

    Des recommandations actionnables selon vos enjeux

  • check-icon

    Une conformité aux normes HDS et ISO27001

  • check-icon

    Une intégration des bonnes pratiques dans vos équipes

“Padok a relevé les défis que nous leur avons donnés en un temps record, mais surtout dans les règles de l’art ! Au-delà de leurs compétences techniques remarquables, ils sont au cœur de nos réflexions stratégiques tout au long des projets pour nous conseiller et nous aider à prendre les bonnes décisions”

Benoit-Dussaux

Benoit Dussaux

Chief Digital Officer

"Padok a su directement se différencier grâce à son expertise technique. On sent que l’équipe est en totale maîtrise !"

oussama_gastil

Oussama Gastil

DevOps Engineer

"Padok a su accroitre la robustesse de notre infrastructure avec une équipe organisée, compétente, accompagnante et très impliquée !"

damien_leroux

Damien Leroux

CTO

"L'équipe comprend nos enjeux, s'adapte à nos contraintes, et leur méthodologie nous permet de rester focus sur le delivery. Notre projet ensemble a été 100% réussi !"

stephane-elmabrouk

Stéphane El Mabrouk

Head of Digital Services

"L'équipe a été incroyable et 100% à la hauteur de tous nos défis !"

sebastien-monchamps

Sébastien Monchamps

CTO Online Banking

Notre méthodologie

Chaque intervention se déroule selon le processus suivant

Méthodologie agile

  1. Qualification de la sensibilité

    Le projet commence par une phase de qualification de la sensibilité/criticité. C’est à cette étape que nous pouvons vous confirmer ou non si vous devez vous conformer aux normes HDS et ISO27001 dans le cadre de données de santé. Dans le cadre de toutes autres données sensibles nous déciderons à ce moment-là si nous vous recommandons fortement de vous y conformer ou non.

  2. Contractualisation

    S’il est validé que le projet doit se conformer à ces normes, vient ensuite une phase de signature du contrat et de l’annexe HDS. Ces documents permettent d’assurer le respect des normes HDS et ISO27001. Il est signé par vous et par nous. Nous établissons ensuite ensemble une matrice RACI pour définir les responsabilités et rôles de chacun dans ce projet.

  3. Challenge technique

    Nos experts en Cybersécurité vont réaliser une analyse de risque pour lister tous les risques de sécurité. Ils proposeront un plan d’action qui sera inclus dans la roadmap du projet. L’équipe effectuera également l’analyse de qualité de l’infrastructure et de conformité HDS et ISO27001 pour une vision complète des chantiers à mener. Les normes HDS et ISO27001 donne un cadre dans lequel notre équipe définis les succès à atteindre. Cette définition des succès capitalisera sur l’existant pour renforcer ce que vous posséder déjà, sans vous rajouter de contraintes.

  4. Projet

    Nos experts DevOps suivent la roadmap qui aura été établie lors du challenge technique. Un de nos experts SecOps supervisera la réalisation des tâches ayant la mention “spécifications fonctionnelles de sécurité”. Ce sont toutes les tâches de l’analyse de risque. L’expert SecOps s’assurera de leur bonne application. Vers la fin du projet de build, un membre du Système de Management de la Sécurité de l'Information (SMSI) viendra auditer ce qui a été fait pour en vérifier la qualité et le respect des normes. 

  5. Infogérance HDS

    Démarre ensuite la phase d’infogérance qui assurera le maintien en conformité HDS et ISO27001. Pour plus de détails sur notre méthodologie d’infogérance, nous vous invitons à consulter notre page dédiée. 

  6. Réversibilité

    Si vous n’avez pas choisi de faire infogérer votre infrastructure par nos soins, cette phase vient remplacer la précédente. C’est celle où nous établissons un plan pour nous retirer les accès. Nous prévoyons précisément notre sortie du projet dans le respect des normes. 

Les livrables

Voilà certains livrables que notre équipe envoie à nos clients selon les offres de conformité HDS et ISO27001 choisis.

template-1

Schéma d’architecture cible

Vous sera fourni en début de projet un schéma d’architecture cible. Il nous permet de vous présenter ce que nous comptons mettre en place et de nous assurer que nous répondons bien à tous vos enjeux et contraintes. 

Rose

Score qualité ROSE

Les experts DevOps Padok calculent le score qualité de votre infrastructure grâce à notre framework ROSE. Cela permet à chaque sprint, de prioriser les chantiers techniques afin d'assurer une infrastructure Résiliente, Opérable et Sécurisée. Nous pouvons ainsi nous assurer que la conformité HDS ne vient pas ralentir le travail des développeurs et des ops. 

analyse-de-risque

Analyse de risque

Nos experts DevSecOps listent tous les scénarios de risques, leur donnent une note de criticité et y attachent un plan d’action avec un résultat attendu afin de le clôturer. Ce rapport vous est fourni en début de projet et nous servira de support tout au long du projet.

yamas

Rapport de conformité YAMAS

Nous vous fournissons tout au long du projet l’accès à votre score de conformité YAMAS. Cet outil nous permet de rendre transparents et accessibles les éléments de conformité HDS et ISO27001. Vous pourrez ainsi identifier facilement où en est votre infrastructure par rapport à ces normes. 

Notre Promesse

Pour assurer votre conformité HDS

Votre réussite est notre priorité. C’est pourquoi il est important pour nous de vous apporter notre expertise sur ces sujets complexes. Mais notre accompagnement va bien plus loin que cela :

  • monitoring informatique

    Une transparence totale sur les exigences de la norme

  • expertise

    Une expertise Cloud et Cybersécurité de haut niveau pour délivrer rapidement une infrastructure de qualité

  • accompagnement

    Une mise en conformité qui ne ralentit pas vos développeurs

  • recommandations

    Des mises en production aussi rapides que dans n’importe quel secteur

    • Build HDS d’un acteur de la santé

    Notre client est un acteur de la santé qui lance une nouvelle application permettant d’affiner le suivi médical de pathologies spécifiques. Ils sont ainsi contraints de respecter les normes HDS, mais ont tout de même un enjeu d’accessibilité de la data issue de leurs utilisateurs afin qu’elle soit facilement exploitable pour garantir l’apprentissage. L’architecture doit également être fortement découplée dans le but de diminuer les checks de compliance nécessaires à chaque mise en production. Ces contraintes les bloquaient pour mettre leur application en production.

    • Points Clés

      Points clés

      • Découpage de l’infrastructure en briques Terraform SAMD et non-SAMD 
      • Construction d'un Processus de mise en production conforme aux normes (Release process)
      • Infrastructure load testée
      • Granularité fine de l’IAM pour gérer l’accès à des données patients sensibles notamment via un environnement Data Scientist
      • Réduction de l’exposition via un environnement de Tooling ( monitoring , CI/CD, security analysis) 
      • Création d’un environnement d’analyse et d’exploitation des données de santé sécurisé
      • Meetings hebdomadaires afin d’être en conformité avec la norme HDS
    • Résultat

      Résultats

      • Uptime de 99,99 % sur les 6 derniers mois
      • Plateforme certifiée HDS
      • +10 microservices d’ingestion et traitement de la donnée déployés pour les Data Engineers, basés sur des templates uniformisés
      • Mises en production hebdomadaires