C’est l’année du renouveau pour les normes et certifications : après l’ISO, c’est HDS qui s’apprête à faire sa révolution. Retours et point de situation en quelques questions !
Pourquoi un nouveau référentiel ?
Comme le dit l’ANS : « Quatre années après la mise en œuvre de la procédure de certification HDS, les remontées des établissements de santé et des industriels conduisent l’ANS à mener, sous l’égide de la Délégation ministérielle du numérique en santé, une démarche de révision du référentiel définissant les exigences applicables à la certification « HDS » », notamment pour :
- Améliorer la lisibilité des garanties apportées par un hébergeur certifié sur les prestations qu’il réalise pour un client donné,
- Clarifier les obligations contractuelles d’un prestataire faisant appel aux services d’un hébergeur certifié,
- Renforcer les exigences de protection des données personnelles au regard des transferts de données hors de l’Union européenne.
Qu’apporte ce nouveau référentiel ?
Ce qui saute aux yeux de prime abord, c’est la disparition des normes ISO 20000 et 27018 du référentiel. Il n’est plus que porté sur l’ISO 27001 complété d’exigences, uniquement organisationnelles, accompagnées d’exigences contractuelles et petite nouveauté sur la représentation de garanties.
En effet, parmi les exigences complémentaires, il est imposé que l’hébergement soit sur le sol Européen ou pays respectant le RGPD, mais ça les principaux hébergeurs (américains) proposent déjà des instances en Europe… Cela ne tranche pas avec les problèmes juridiques, Cloud Act en tête si on ne veut en citer qu’un.
SecNumCloud est cité, sans être imposé, donc pour ceux qui sont déjà qualifiés, ça simplifiera leur conformité, mais pour les autres, cela ne changera rien. L’ANS a fait le choix de ne pas durcir (tout de suite ?) les règles en matière de cyber. Car comme évoqué, aucune exigence technique, le chiffrement de l’agrément n’a pas fait sa réapparition, ni la gestion en bris de glace pour ne citer qu’elles.
L’ajout d’un chapitre dédié sur le contrat, à la manière de SecNumCloud, est plutôt le bienvenu, même si le décret imposait déjà un certains nombres d’exigences. Il ne pourra plus être dit qu’on ne savait pas quoi mettre dans le contrat, cette partie est plutôt claire et santé. Et mettre en lumière, les sous-traitants certifiés pour apporter de la confiance (et cette garantie) vis-à-vis du client, mais sans l’imposer (l’appel à un tiers non certifié reste possible).
La disparition des deux normes complémentaires est-elle préjudiciable ?
Oui et non. Les exigences ISO 20000 initialement choisies venaient apporter cette relation de service, mais elles sont déjà présentes et reprises dans l’annexe 2022 de la 27001 (sur les changements et la continuité) et les exigences contractuelles imposant une convention de service avec des rôles et responsabilités claires, font perdre l’importance de l’ajout de cette norme.
Quant à l’ISO 27018, depuis l’entrée en vigueur du RGPD, les exigences sont reprises par la conformité au cadre légal et réglementaire applicable demandées par l’ISO 27001. La encore, la perte est sans trop d’importance. Les exigences complémentaires techniques auraient pu être reprises, bien que naturellement adressées si on a la volonté de monter en maturité cyber avec un haut respect de l’annexe.
Les 6 niveaux sont-ils toujours présents ?
Pour ça, aucun changement, on reste avec les 6 mêmes niveaux. Un ajout plutôt bienvenu sur le niveau 6, relatif aux sauvegardes qui comprend tant les sauvegardes externalisés que nécessaires aux activités 3 à 5.
Le niveau 5 est-il enfin plus clair ?
Comme évoqué, on reste sur les 6 mêmes niveaux, dont l’intitulé du niveau 5 qui reste toujours ambigu en parlant d’administration et d’exploitation du SI.
Une définition a été apportée dans le glossaire, qui mérite de s’y reprendre à plusieurs fois pour bien comprendre, car il n’est toujours pas fait mention de SaaS, contrairement aux niveaux 3 et 4 qui parlent de IaaS et PaaS sans ambiguïté.
Si la lecture est bonne, et pour faire simple, un éditeur de logiciel seul serait exclu, mais dès lors que l’application est en mode SaaS, opérant les niveaux 3 & 4, elle devient soumise au HDS. En soi, peu de nouveautés par rapport à ce qui se passait depuis quelques années. Il est juste dommage de laisser cette ambiguïté et interprétation possible.
Est-il compatible avec la nouvelle 27001 ?
En l’état non, car il se doit de reposer sur un référentiel français, et la nouvelle 27001 n’arrivera qu’en début d’année 2023, mais il sera pleinement compatible avec la nouvelle norme (qui comme vous pouvez le voir n’est pas révolutionnaire non plus…)
Pour quand est prévu ce nouveau référentiel ?
Il est actuellement en concertation jusqu’au 9 décembre, et s’apprêtera à rentrer dans les arcanes légales et juridiques après ça, il n’est donc pas prévu une publication officielle avant le deuxième semestre 2023. Et le texte peut encore changer…
Dois-je dès maintenant m’y intéresser pour anticiper ma mise en conformité ?
Il peut être regardé dès maintenant, notamment le volet contractuel qui apporte beaucoup de bon sens (et de protection) si jamais votre contrat fait défaut. Pour le reste, autant attendre la fin de la concertation et une version plus officielle, le délai pour prendre en compte les changements ne sont pas arrêtés mais devraient s’appuyer sur les recommandations de l’ISO, à savoir 2 ans.
Et qu’en pensent les experts Advens ?
Comme vous avez pu le constater, pas de révolution à l’horizon, la conformité ne sera que plus facile, mais l’absence de mesures strictes sur le contrôle de données sensibles reste préjudiciable, et nous aurions préféré un référentiel prenant en compte l’ISO 27701, dont le cœur est le respect des données, s’appuyant sur l’ISO 27001, plutôt qu’une « simple » 27001, même si cela reste un bon début. Mais est-ce suffisant en 2023 ?
Dans tous les cas, nos équipes cyberconformité restent mobilisées pour suivre l’évolution de ce référentiel et continuent d’accompagner les acteurs du monde de la santé à plus de conformité et de maturité.