Les 5 règles à connaître concernant l'hébergement de données de santé

26 avril 2021

Abonnez-vous à la newsletter

No spam, we promise! You will only 
receive essential emails.
logiciel-hds-5-règles-hebergement-données-santé

Le récent incident chez OVH a mis en lumière l’importance d’avoir un hébergeur certifié, et qui se donne les moyens lorsqu’il s’agit de faire de l’hébergement de données de santé.

Si les logiciels sur le cloud sont réputés pour avoir un fonctionnement inviolable et sécurisé de bout en bout, n’hésitez pas à vous assurer de quelques bonnes pratiques qui pourraient s’avérer salutaires.

Voici 5 règles à connaître concernant l’hébergement de données de santé.

1- Ayez un hébergeur certifié...

Votre logiciel HDS doit se reposer sur un hébergeur qui a obtenu une certification donnée par le gouvernement. Tous les hébergeurs de données de santé doivent se plier à une évaluation de conformité conduite par un organisme certificateur validé par le COFRAC. Suite à plusieurs audits, un certificat est délivré à l’hébergeur pour une durée de 3 ans et des audits de surveillance sont effectués chaque année.

 

Les certifications couvrent diverses activités, du maintien opérationnel des sites physiques hébergeant les données de santé à l’administration en elle-même des systèmes d’information qui les traitent. Vérifiez auprès de votre éditeur logiciel que l’hébergeur avec lequel il travaille est bel et bien certifié dans les périmètres indispensables à votre activité.

 

2- … et un hébergement de qualité !

Attention : un hébergeur certifié n’est pas synonyme d’hébergement de qualité.

Il est très important de vous assurer des critères suivants et que votre couple éditeur / hébergeur HDS :

  • dispose d’un plan de sauvegarde régulier : sauvegarde automatique des données toutes les 15 minutes par exemple ;
  • que ces sauvegardes sont réparties sur 2 datacenters distincts pour vous assurer de la redondance de vos données en cas de problème dans une des structures ;
  • que ces datacenters se trouvent à une distance de plus de 30 kilomètres l’un de l’autre minimum, afin que toute atteinte “physique” aux locaux de votre hébergeur ne puisse affecter votre activité.

Par ailleurs, vérifiez qu’il existe un PRA ou plan de reprise d’activité conçu pour votre structure et qu’il soit externalisé sur d’autres datacenters pour plus de sécurité !

 

3- N’oubliez pas les audits !

Il vous appartient de vérifier le bon fonctionnement et la bonne exécution des prestations de sécurité qui vous ont été proposées. N’hésitez pas à vous tourner vers votre éditeur logiciel et son hébergeur et à préconiser des audits de sécurité. Vous pourrez ainsi être assuré de la sauvegarde de vos données de santé et de tout dysfonctionnement dans la chaîne afin de le rectifier.

Conseil : demandez des audits de vérification et de contrôle des sauvegardes 1 fois par an à minima pour vérifier que l’hébergeur respecte ses engagements. Ces sauvegardes doivent être réalisées d’une part mais aussi bien faites, c’est-à-dire remontées, testées et validées !

 

Nouveau call-to-action

 

 

4- Faites des tests réguliers

Les pentests, vous connaissez ? Également appelés “tests d’intrusion”, ce sont des techniques de piratage éthique qui consistent à tester la vulnérabilité du data center et des applications hébergées en cloud. L’objectif : détecter toute faille susceptible d’être exploitée par un hacker ou un logiciel malveillant afin de la corriger en amont et améliorer la cybersécurité. Ces pentests sont conduits automatiquement ou manuellement par des pentesters, afin d’avoir une veille permanente sur les vulnérabilités potentielles des applications logicielles et hébergeurs.

 

Un logiciel cloud et un hébergeur de données de santé régulièrement testés sur ce type de failles sont d’autant plus à même de vous apporter des solutions à jour et sécurisées pour votre activité au quotidien. 

 

5- Vérifiez ce que gère votre éditeur logiciel

L’objectif n°1 de votre éditeur logiciel doit être le “zero down time”, c’est-à-dire qu’il doit viser le zéro perte de données et zéro perte d’exploitation afin que l’hébergement de vos données de santé ne soit jamais un frein à votre activité.

Aussi n’hésitez pas à vérifier précisément ce que prend en charge votre éditeur et à vous assurer qu’il respecte ses engagements : s’assure-t-il de l’existence d’un plan de sauvegarde régulier ? D’un plan de reprise d’activité ? Conduit-il des audits auprès de l’hébergeur pour vérifier la bonne exécution des sauvegardes ? Fait-il réaliser des pentests pour éviter toute faille potentielle ? Un choix instruit sur votre partenaire logiciel est une garantie supplémentaire sur la bonne gestion de votre centre de santé.

 

[Article sur le même sujet] La formation des assistants administratifs, point stratégique pour les centres de santé.

 

Et si vous souhaitez en savoir plus sur la digitalisation de votre centre de santé, téléchargez gratuitement la brochure des 5 questions pour réussir la digitalisation de votre centre de santé en France.

Nouveau call-to-action

Et si vous souhaitez bénéficier d'autres conseils, n'hésitez pas à nous contacter !

Nouveau call-to-action

TOUS LES ARTICLES

Abonnez-vous à la newsletter

Pas de spam, promis! Vous ne recevrez
que les e-mails essentiels..

Laissez nous un message

téléchargez la brochure JUXTA

Abonnez-vous et restez connecté !