HDS et ISO27001, protégez vos données de santé

Vous lancez un projet tech lié à des données de santé ? Padok est certifié Hébergeur de Données de Santé (HDS) et vous accompagne dans la construction et l'infogérance de votre infrastructure cloud.

Se conformer à HDS
Sante-V01-HD

Nos certifications

Tout comprendre sur la certification HDS

Vous travaillez dans le monde de la santé, mais vous ne savez pas exactement ce qu’est la certification HDS et si elle vous concerne ? Nous avons bien conscience qu’il s’agit d’une norme difficile à appréhender. Nous répondons ci-dessous aux questions qui reviennent régulièrement quand on parle d’Hébergeurs de Données de Santé.

1. Certification HDS et certification ISO27001, qu’est-ce que c’est ?

La certification ISO27001 est une norme internationale qui démontre que vous avez construit un système de management de la sécurité de l’information (SMSI) robuste. Cette norme permet d’assurer la confidentialité, la disponibilité et l’intégrité de l’information afin de se protéger contre les cyberattaques ou tout autre type de risques.
Il est obligatoire d’avoir la certification ISO27001 pour obtenir HDS (Hébergeur de Données de Santé). HDS est une surcouche de ISO27001, auxquelles doivent obligatoirement se conformer les acteurs de la santé. Les données personnelles de santé sont des données sensibles, la norme est ainsi logiquement renforcée pour les sécuriser.

Peu importe le type d’entreprises que vous êtes, si vous touchez de près ou de loin à des données de santé vous devez vous conformer à la réglementation HDS. Que les données soient hébergées dans le cloud ou non, cela ne fait également pas de différence, il faudra se conformer à la norme. 

Vous entendrez souvent parler de niveau concernant la certification HDS. Selon votre hébergement : serveurs physiques ou Cloud, vous en choisirez des différents.
Les niveaux 1 et 2 concernent les serveurs physiques. Ainsi, si vous en possédez vous aurez besoin de ces deux premiers.
Les niveaux 3, 4, 5 et 6 encadrent les environnements applicatifs. Ils sont obligatoires, peu importe votre type d’hébergement (cloud ou physique).
Résumons, si vous êtes sur le cloud vous aurez besoin d’être évalué sur les niveaux 3, 4, 5 et 6, car les cloud providers supportent eux-mêmes la certification sur 1 et 2. Si vous avez des serveurs physiques, vous devrez être évalué du niveau 1 au 6.

Si votre activité vous oblige à héberger des données de santé, dans ce cas vous avez deux possibilités. Soit, vous entrez en contact avec un organisme de certification tel que l’AFNOR, BSI Group, Bureau Veritas… Et commencez le processus de certification. Soit, vous passez par un prestataire certifié HDS pour construire, améliorer, maintenir et sécuriser votre infrastructure selon la réglementation. Padok est l’un de ces prestataires.

C’est une question complexe qui dépend des enjeux de votre entreprise. Mais il y a tout de même deux grandes questions que vous pouvez vous poser pour commencer à aiguiller votre choix. La première question étant : Ai-je les ressources internes (humaines et financières) pour passer la certification et la maintenir ? Et la seconde : ai-je besoin d’être en conformité maintenant ou dans 1 an ? Si la réponse à la première question est oui et la seconde est dans un 1 an, prenez contact avec un des organismes de certification. Si les réponses sont non et maintenant, faites appel à un infogéreur HDS certifié.

Padok est certifié HDS et ISO27001

Niveaux 3, 4, 5, 6

Padok est agréé HDS depuis 2022 par BSI Group. Voici le libellé exact de notre certification : “Conception, sécurisation et infogérance d’infrastructure Cloud hébergeant des données personnelles de santé avec couverture de l’activité ANS numéro 3, 4, 5, 6 du système de référence HDS version 1.1 (2018) conformément à la déclaration d’applicabilité DDA 08/02/22”.

Nous construisons et administrons votre infrastructure cloud pour héberger en sécurité vos données de santé en conformité HDS .
certification HDS

Certification HDS

Certification ISO27001

Certification ISO27001

Nos offres HDS et ISO27001

Nous avons 3 offres pour répondre à vos besoins en matière de conformité HDS et ISO27001.

Demandez votre devis
Infogérance ISO27001 HDS

Infogérance ISO27001 et HDS

Vous souhaitez maintenir votre infrastructure cloud en conformité HDS ? Padok étant certifié “Hébergeurs de Données de Santé”,  nos experts peuvent ainsi assurer quotidiennement le maintien en conformité des normes HDS et ISO27001. Nous vous invitons à consulter notre page dédiée pour une meilleure compréhension de nos solutions d’infogérance.

Audit HDS

Audit ISO27001 & Audit HDS

Vous souhaitez évaluer votre niveau de conformité aux normes HDS et ISO27001 ? Nos experts auditent votre infrastructure selon les critères de ces normes et vous font des recommandations actionnables et priorisées pour atteindre le niveau requis. Il est important de préciser qu’un audit ne garantit pas une conformité HDS. En effet, les critères doivent être validés de manière durable pour être conformes. Faire un audit HDS ne permet donc en aucun cas d’avoir le tampon “certifié Hébergeurs de Données de Santé”. 

Build ISO27001 HDS

Build ISO27001 et HDS

Vous hébergez des données de santé et souhaitez construire ou faire évoluer votre infrastructure cloud ? Nos experts DevOps vous accompagnent sur tous vos projets de santé. Que ce soit pour implémenter les recommandations de notre audit, construire une nouvelle infrastructure ou encore la faire évoluer pour la mettre au niveau des standards de qualité et de conformité HDS de Padok. Nous nous assurons que la mise en conformité ne ralentira pas vos développeurs et que des mises en production quotidiennes seront possibles.

Notre framework de conformité

YAMAS, notre framework de conformité

Nos ingénieurs ont conçu un framework, qu’ils ont nommé YAMAS, qui permet d’évaluer rapidement selon 133 critères votre niveau de conformité aux normes ISO27001 et HDS. Vous savez ainsi en un coup d’œil les chantiers à mener. Cet outil nous permet de vous apporter un maximum de transparence sur ces normes. Il nous sert de base pour nos audits. Il est également utilisé pour l’infogérance HDS afin d’assurer le maintien en conformité. Et il est utilisé sur les projets de build pour vérifier que ce qui est construit est au niveau HDS requis.
framework yamas
Notre expertise

Pour rester à la pointe de la technologie

logo-googlecloud-svg Google Cloud Kubernetes Kubernetes

docker Docker

Azure Microsoft Azure

aws Amazon Web Services

Prometheus Prometheus

Nos partenaires

Google Cloud, Amazon AWS, Azure, OVHcloud, Scaleway, et Kubernetes nous font confiance pour implémenter leurs technologies en conformité HDS et ISO27001 chez nos clients.

AWS
GCP
Microsoft Azure
OVHcloud
kubernetes
Scaleway
Notre méthodologie

Chaque intervention se déroule selon le processus suivant

Méthodologie agile
  1. Qualification de la sensibilité

    Le projet commence par une phase de qualification de la sensibilité/criticité. C’est à cette étape que nous pouvons affirmer ou infirmer si vous devez bien vous conformer aux normes HDS et ISO27001.

  2. Contractualisation

    S’il est validé que le projet doit se conformer à ces normes, vient ensuite une phase de signature du contrat et de l’annexe HDS. Ces documents permettent d’assurer le respect des normes HDS et ISO27001. Il est signé par vous et par nous. Nous établissons ensuite ensemble une matrice RACI pour définir les responsabilités et rôles de chacun dans ce projet.

  3. Challenge technique

    Nos experts en Cybersécurité vont réaliser une analyse de risque pour lister tous les risques de sécurité. Ils proposeront un plan d’action qui sera inclus dans la roadmap du projet. L’équipe effectuera également l’analyse de qualité de l’infrastructure et de conformité HDS et ISO27001 pour une vision complète des chantiers à mener. À la suite de quoi seront définis des succès à atteindre.

  4. Projet

    Nos experts DevOps suivent la roadmap qui aura été établie lors du challenge technique. Un de nos experts SecOps supervisera la réalisation des tâches ayant la mention “spécifications fonctionnelles de sécurité”. Ce sont toutes les tâches de l’analyse de risque. L’expert SecOps s’assurera de leur bonne application. Vers la fin du projet de build, un membre du Système de Management de la Sécurité de l'Information (SMSI) viendra auditer ce qui a été fait pour en vérifier la qualité et le respect des normes.

  5. Infogérance HDS

    Démarre ensuite la phase d’infogérance qui assurera le maintien en conformité HDS et ISO27001. Pour plus de détails sur notre méthodologie d’infogérance, nous vous invitons à consulter notre page dédiée.

  6. Réversibilité

    Si vous n’avez pas choisi de faire infogérer votre infrastructure par nos soins, cette phase vient remplacer la précédente. C’est celle où nous établissons un plan pour nous retirer les accès. Nous prévoyons précisément notre sortie du projet dans le respect des normes.

Les livrables

Voilà certains livrables que notre équipe envoie à nos clients selon les offres de conformité HDS et ISO27001 choisis.

template-1

Schéma d’architecture cible

Vous sera fourni en début de projet un schéma d’architecture cible. Il nous permet de vous présenter ce que nous comptons mettre en place et de nous assurer que nous répondons bien à tous vos enjeux et contraintes.

Rose

Score qualité ROSE

Les experts DevOps Padok calculent le score qualité de votre infrastructure grâce à notre framework ROSE. Cela permet à chaque sprint, de prioriser les chantiers techniques afin d'assurer une infrastructure Résiliente, Opérable et Sécurisée. Nous pouvons ainsi nous assurer que la conformité HDS ne vient pas ralentir le travail des développeurs et des ops.

analyse-de-risque

Analyse de risque

Nos experts DevSecOps listent tous les scénarios de risques, leur donnent une note de criticité et y attachent un plan d’action avec un résultat attendu afin de le fermer. Ce rapport vous est fourni en début de projet et nous servira de support tout au long du projet.

yamas

Rapport de conformité YAMAS

Nous vous fournissons tout au long du projet l’accès à votre score de conformité YAMAS. Cet outil nous permet de rendre transparents et accessibles les éléments de conformité HDS et ISO27001. Vous pourrez ainsi identifier facilement où en est votre infrastructure par rapport à ces normes.

Notre Promesse

Pour assurer votre conformité HDS

Votre réussite est notre priorité. C’est pourquoi il est important pour nous de vous apporter notre expertise sur ces sujets complexes. Mais notre accompagnement va bien plus loin que cela :

  • monitoring informatique

    Une transparence totale sur les exigences de la norme

  • expertise

    Une expertise Cloud et Cybersécurité de haut niveau pour délivrer rapidement une infrastructure de qualité

  • accompagnement

    Une mise en conformité qui ne ralentit pas vos développeurs

  • recommandations

    Des mises en production aussi rapides que dans n’importe quel secteur

  • Build HDS d’un acteur de la santé

    Notre client est un acteur de la santé qui lance une nouvelle application permettant d’affiner le suivi médical de pathologies spécifiques. Ils sont ainsi contraints de respecter les normes HDS, mais ont tout de même un enjeu d’accessibilité de la data issue de leurs utilisateurs afin qu’elle soit facilement exploitable pour garantir l’apprentissage. L’architecture doit également être fortement découplée dans le but de diminuer les checks de compliance nécessaires à chaque mise en production. Ces contraintes les bloquaient pour mettre leur application en production.

    • Points Clés

      Points clés

      • Découpage de l’infrastructure en briques Terraform SAMD et non-SAMD 
      • Construction d'un Processus de mise en production conforme aux normes (Release process)
      • Infrastructure load testée
      • Granularité fine de l’IAM pour gérer l’accès à des données patients sensibles notamment via un environnement Data Scientist
      • Réduction de l’exposition via un environnement de Tooling ( monitoring , CI/CD, security analysis) 
      • Création d’un environnement d’analyse et d’exploitation des données de santé sécurisé
      • Meetings hebdomadaires afin d’être en conformité avec la norme HDS
    • Résultat

      Résultats

      • Uptime de 99,99 % sur les 6 derniers mois
      • Plateforme certifiée HDS
      • +10 microservices d’ingestion et traitement de la donnée déployés pour les Data Engineers, basés sur des templates uniformisés
      • Mises en production hebdomadaires