Notre certification HDS đ
Nous pensons que sâil manque quelque chose dans lâaccomplissement de la vision dâune santĂ© personnalisĂ©e et programmatique, ce nâest pas tellement un objet connectĂ© ou un algorithme magique, mais plutĂŽt dâabaisser les barriĂšres technologiques et rĂ©glementaires Ă la collecte et lâutilisation sĂ©curisĂ©e des donnĂ©es de santĂ©. En tout cas, câest avec ce type de produit que nous pensons avoir le plus dâimpact dans ce secteur.
Un des aspects importants de cette difficultĂ© est la nĂ©cessitĂ© de se conformer, dĂšs les premiers instants, aux nombreuses rĂ©glementations qui sâappliquent au secteur de la santĂ©. Pas si simple, surtout pour une startup!
Dans notre quĂȘte dâabaisser ces barriĂšres, nous avons dĂ» nous confronter trĂšs tĂŽt au processus de certification HDS ou HĂ©bergeur de donnĂ©es de santĂ©. AprĂšs une annĂ©e de travail, quelques nuits blanches et quelques dizaines de milliers dâeuros dĂ©pensĂ©s, nous publions cet article pour partager cette expĂ©rience.
đ Contexte
Jusquâen 2017, un agrĂ©ment encadrait le stockage et lâhĂ©bergement des donnĂ©es de santĂ©. Ce dernier Ă©tait seulement dĂ©livrĂ© par le ministĂšre de la santĂ© sur dossier: il sâagissait dâun processus opaque qui, depuis son lancement en 2009, a contribuĂ© Ă freiner lâinnovation. Sous ce rĂ©gime, il ne semblait pas nĂ©cĂ©ssaire pour les entreprises dâobtenir cet agrĂ©ment, il leur suffisait de sâappuyer sur un hĂ©bergeur qui lâavait dĂ©jĂ obtenu. En tout cas, câest ce que tout le monde se satisfaisait de comprendre avec un grand soulagement.
En 2018, lâagrĂ©ment est devenu une certification, câest Ă dire une Ă©valuation par des auditeurs indĂ©pendants de la conformitĂ© Ă un rĂ©fĂ©rentiel et une norme internationale en sĂ©curitĂ© de lâinformation. La certification se dĂ©coupe en deux parties, avec en tout, 6 couches:
- Les couches 1 et 2 concernent la partie infrastructure. Ces deux premiĂšres couches ne concernent que les entreprises ayant des data centers en propre, assez rare donc.
- Les couches 3, 4, 5 et 6 concernent la partie infogĂ©rance. Il sâagit de la partie qui intĂ©resse gĂ©nĂ©ralement les entreprises et startups, qui manipulent les donnĂ©es de santĂ© dans leurs produits.
Pour chaque couche, la certification apporte une description plus ou moins prĂ©cise de lâactivitĂ© concernĂ©e. Par exemple, la couche 5 se nomme âInfogĂ©rance dâexploitation du systĂšme dâinformation de santĂ©â.
On comprend en lisant les descriptions des diffĂ©rentes couches que beaucoup dâentreprises, dont Kuranda, vont devoir se faire certifier, car au final, toute application de santĂ© est un mini systĂšme dâinformation de santĂ©. Il sâagit lĂ du vĂ©ritable changement de paradigme quâapporte cette certification.
đ Dois-je me faire certifier?
VoilĂ la question quâon a beaucoup entendu aprĂšs lâannonce de la nouvelle certification. La couche 5, quâon a prĂ©sentĂ© prĂ©cĂ©demment, a posĂ© beaucoup de problĂšmes car elle inclut un trĂšs (trop?) grand nombre dâentreprises.
Le rĂ©flexe de ces entreprises, sĂ»rement en lien avec lâancien agrĂ©ment, a Ă©tĂ© de dire quâelles sâappuyaient sur des hĂ©bergeurs ayant une certification sur toutes les couches et donc quâelles Ă©taient, par transitivitĂ©, en rĂšgle avec la rĂ©glementation. Ceci est bien entendu complĂštement faux.
MĂȘme si votre hĂ©bergeur est certifiĂ© sur la couche 5 (Azure par exemple), vous avez tout de mĂȘme la responsabilitĂ© de lâinfogĂ©rance de votre infrastructure (sĂ©curisation, dĂ©ploiements, journalisation, disponibilitĂ©, etcâŠ).
Un peu de bon sens: Est-ce quâune plateforme comme Azure vous interdit de supprimer votre base de donnĂ©e ou vous oblige Ă mettre en place une traçabilitĂ© des accĂšs? Absolument pas. Il sâagit bien entendu de votre responsabilitĂ©, les plateformes cloud ne fournissent que des outils pour faciliter ce travail, pas le faire Ă votre place.
Mais alors, pourquoi certains fournisseurs dâinfrastructures (comme Microsoft, Google ou OVH) se sont-il fait certifier sur cette couche? VoilĂ une ambiguĂŻtĂ© intĂ©ressante. La rĂ©ponse peut prendre deux formes:
- Ils vendent des logiciels en mode SaaS qui traitent de la donnée de santé (ex: Office 365 ou Gsuite utilisés dans un hÎpital). Dans ce cas, la couche 5 est bien entendu nécessaire pour commercialiser ces produits.
- Ils ne veulent prendre aucun risque, lâASIP ne sâĂ©tant pas arrĂȘtĂ©e dans les choix des diffĂ©rentes couches et des activitĂ©s liĂ©es (ils ont dâailleurs remis Ă lâĂ©tude le pĂ©rimĂštre de la couche 5).
Amazon Web Services, par exemple, ne sâest pas fait certifier sur la couche 5, câest bien quâil doit y avoir une raison!
LâĂ©quation est finalement assez simple: Soit vous externalisez complĂštement votre infogĂ©rance chez un prestataire, soit vous vous faites certifier, soit vous utilisez une plateforme comme Kuranda.
đŁ La route vers la certification
La décision de se faire certifier a finalement été trÚs simple à prendre compte tenu de la nature de notre produit: un backend certifié HDS permettant de trÚs facilement stocker et gérer des données de santé.
On peut lister rapidement les bĂ©nĂ©fices quâon y voyait dĂ©jĂ Ă lâĂ©poque:
- Impossible de vendre un tel produit sans une preuve tangible de nos compétences pour gérer des données aussi sensibles, surtout en tant que startup.
- Hors de question dâexternaliser un dĂ©veloppement, quel quâil soit. La gestion de lâinfrastructure Ă©tant au coeur de notre produit, utiliser un infogĂ©reur est tout simplement inconcevable: perte en agilitĂ© et en vitesse dâitĂ©ration â on ne souhaite pas ouvrir un ticket auprĂšs dâun prestataire Ă chaque mise Ă jour de notre plateforme, câest Ă dire tous les jours.
- La difficultĂ© dâun tel processus semble Ă©norme, surtout pour une entreprise comme la notre. Câest clairement une opportunitĂ© dâinstaller une barriĂšre Ă lâentrĂ©e importante.
- HDS se base Ă 80% sur la norme internationale ISO27001 qui est en fait un socle commun aux diffĂ©rentes rĂ©glementations autour de la protection des donnĂ©es, notamment en santĂ©. Par exemple, la rĂ©glementation amĂ©ricaine (HIPAA) sâappuie en grande partie sur cette norme. On prĂ©pare donc dĂ©jĂ lâexportation de notre produit.
- Notre produit certifiĂ© HDS est une troisiĂšme voie pour les entreprises. En intĂ©grant Kuranda, une entreprise se dĂ©charge de lâinfogĂ©rance des donnĂ©es de santĂ© car les donnĂ©es ne font que transiter temporairement. Le fait de proposer le produit par API permet dans le mĂȘme temps de rendre la maĂźtrise et lâagilitĂ© de dĂ©veloppement totale Ă nos clients.
- Il sâagit dâune formidable opportunitĂ© de structurer lâentreprise. Les startups ont gĂ©nĂ©ralement trĂšs peu de processus en interne et câest lâoccasion de commencer Ă le faire chez nous.
Cette expĂ©rience nous a bien entendu permis dâeffectuer quelques learnings que lâon vous partage volontiers en espĂ©rant vous faciliter la tĂąche et vous Ă©viter quelques erreurs.
1. Faire une formation
Votre premier rĂ©flexe sera dâacheter la norme ISO27001 puis de la lire. Vous serez alors plongĂ© dans un ocĂ©an dâincertitudes. Ne vous inquiĂ©tez pas, câest tout Ă fait normal: le monde de la norme a ses propres codes, son propre langage et son lot dâambiguitĂ©s.
La premiĂšre Ă©tape: se faire former par un expert de la norme. Cela a clairement Ă©tĂ© dâune importance cruciale pour nous. Sans cela, on serait encore en train de tenter de comprendre la premiĂšre section de la norme. Nous avons suivi une formation auprĂšs de HS2 de HervĂ© Schauer, lui-mĂȘme connu comme le loup blanc sur les sujets de cybersĂ©curitĂ© en France. Nous conseillons donc HS2 Ă toutes les entreprises qui entament un processus de certification.
CoĂ»t total â 3774⏠H.T
- Formation â 3534⏠H.T
- Achat des normes â 240⏠H.T
2. La norme comme culture
Compte tenu de la quantitĂ© massive de travail que lâimplĂ©mentation de la norme reprĂ©sente, surtout pour une startup avec des ressources limitĂ©es, il vaut mieux profondĂ©ment sâapproprier la norme et rĂ©ussir Ă fondre le travail dans son daily work: vous en ferez alors une force au lieu dâen faire un Ă©norme fardeau!
Une de nos erreurs Ă Ă©tĂ© par exemple de dĂ©signer une personne en interne pour sâoccuper de ce sujet de bout en bout. AprĂšs 4 mois de travail, on se retourne et on voit un projet annexe qui ne semble plus du tout faire sens pour lâentreprise.
CrĂ©er un systĂšme de management de la sĂ©curitĂ© de lâinformation peut ĂȘtre un formidable moyen de se structurer et dâĂ©crire une page fondatrice de sa culture dâentreprise. Ă lâinverse, cela peu aussi devenir un Ă©norme fardeau. Pour preuve, de nombreuses entreprises perdent leur certification aprĂšs une annĂ©e car elles nâont pas forcĂ©ment rĂ©ussi Ă ancrer les concepts de la norme au sein de leur culture. Attention donc avec cela.
3. Son auditeur interne
Une partie importante de ce processus repose sur un audit interne qui est dâailleurs obligatoire et demandĂ© par la norme. Grosso modo, un consultant externe Ă lâorganisme de certification doit venir sur 5 jours pour effectuer un audit complet du systĂšme. Il sâagit, en dâautres termes, dâune rĂ©pĂ©tition gĂ©nĂ©rale et donc dâune formidable opportunitĂ© de mesurer votre couverture de la norme et le travail quâil reste Ă accomplir.
Nous avons eu la malchance dâen choisir un trĂšs, trĂšs, trĂšs mauvais. Ce consultant nous avait pourtant Ă©tĂ© recommandĂ© et semblait avoir un trĂšs bon CV (consultant responsable de la sĂ©curitĂ© de lâinformation pour des entreprises du CAC40).
Le rapport quâil nous a fourni Ă©tait dâune qualitĂ© dĂ©plorable et complĂštement en dĂ©calage avec ce quâon avait montrĂ© durant lâaudit. Petit florilĂšge:
Ce rapport est trĂšs important pour la suite, notamment pour les audits suivants. Vous devez en effet montrer que vous avez amĂ©liorĂ© votre systĂšme, dâun audit au suivant. Ici, câĂ©tait assez compliquĂ© tant la fiabilitĂ© du rapport laissait Ă dĂ©sirerâŠ
CoĂ»t total â 3400⏠H.T
Ne vous inquiétez pas, on a pas mal négocié aprÚs avoir vu le rapport :-)
4. Bien choisir son organisme certificateur
Il existe plusieurs organismes certificateurs et donc ce nâest pas forcĂ©ment simple de sây retrouver. Il faut pourtant bien le choisir car vous allez tout mĂȘme passer pas mal de temps ensemble.
Par exemple, un point quâon a du prendre en compte pour notre cas Ă©tait notre petite taille. Il est vrai que ces organismes nâont pas lâhabitude de certifier des startups et donc il faut les sonder pour voir sâils vous prennent au sĂ©rieux.
Nous avons choisi BSI car ils semblaient avoir une grande ouverture dâesprit et comprendre le contexte de notre entreprise. Ce choix sâest avĂ©rĂ© payant puisque nous avons passĂ© des trĂšs bons moments avec eux, mĂȘme durant les audits. Nous recommandons donc chaudement BSI.
CoĂ»t totalâ 12370, 26⏠H.T
- Pre-Audit â 1423,60⏠H.T
- Audit documentaire â 2230,89⏠H.T
- Audit final â 8715,77⏠H.T
â Conclusion
On va pas vous le cacher, sortir quasiment 20kâŹ, pour une startup, ce nâest pas si facile que cela. Nous pensons cependant toujours aujourdâhui quâil sâagit dâune milestone extrĂȘmement importante pour nous qui va permettre de rassurer nos clients et dâen convaincre sĂ»rement aussi beaucoup dâautres.
Il y a aussi les coĂ»ts quâon ne voit (mesure ?) pas: le coĂ»t humain est sĂ»rement 10 fois supĂ©rieur. Lorsquâon travaille sur la certification, on ne travaille pas sur son produit et on passe moins de temps Ă rencontrer son marchĂ©. Pour une startup, oĂč le temps est vraiment comptĂ©, je dirais que les 11 mois de travail devraient beaucoup plus vous inquiĂ©ter que la dĂ©pense financiĂšre.
De plus, il y a la taille de votre entreprise. Mettre en place la certification dĂšs quâon dĂ©passe 10, 20 personnes augmente les coĂ»ts de façon exponentielle et le risque dâĂ©chec.
Vous avez des questions? Contactez-moi directement sur linkedin đ
CoĂ»t total â 19544,26⏠H.T + 11 mois de travailâŠ