Notre certification HDS 🚀

Nous pensons que s’il manque quelque chose dans l’accomplissement de la vision d’une santé personnalisée et programmatique, ce n’est pas tellement un objet connecté ou un algorithme magique, mais plutôt d’abaisser les barrières technologiques et réglementaires à la collecte et l’utilisation sécurisée des données de santé. En tout cas, c’est avec ce type de produit que nous pensons avoir le plus d’impact dans ce secteur.

Un des aspects importants de cette difficulté est la nécessité de se conformer, dès les premiers instants, aux nombreuses réglementations qui s’appliquent au secteur de la santé. Pas si simple, surtout pour une startup!

Dans notre quête d’abaisser ces barrières, nous avons dû nous confronter très tôt au processus de certification HDS ou Hébergeur de données de santé. Après une année de travail, quelques nuits blanches et quelques dizaines de milliers d’euros dépensés, nous publions cet article pour partager cette expérience.

Photo by Estée Janssens on Unsplash

📕 Contexte

Jusqu’en 2017, un agrément encadrait le stockage et l’hébergement des données de santé. Ce dernier était seulement délivré par le ministère de la santé sur dossier: il s’agissait d’un processus opaque qui, depuis son lancement en 2009, a contribué à freiner l’innovation. Sous ce régime, il ne semblait pas nécéssaire pour les entreprises d’obtenir cet agrément, il leur suffisait de s’appuyer sur un hébergeur qui l’avait déjà obtenu. En tout cas, c’est ce que tout le monde se satisfaisait de comprendre avec un grand soulagement.

En 2018, l’agrément est devenu une certification, c’est à dire une évaluation par des auditeurs indépendants de la conformité à un référentiel et une norme internationale en sécurité de l’information. La certification se découpe en deux parties, avec en tout, 6 couches:

• Les couches 1 et 2 concernent la partie infrastructure. Ces deux premières couches ne concernent que les entreprises ayant des data centers en propre, assez rare donc.
• Les couches 3, 4, 5 et 6 concernent la partie infogérance. Il s’agit de la partie qui intéresse généralement les entreprises et startups, qui manipulent les données de santé dans leurs produits.

Pour chaque couche, la certification apporte une description plus ou moins précise de l’activité concernée. Par exemple, la couche 5 se nomme “Infogérance d’exploitation du système d’information de santé”.

On comprend en lisant les descriptions des différentes couches que beaucoup d’entreprises, dont Kuranda, vont devoir se faire certifier, car au final, toute application de santé est un mini système d’information de santé. Il s’agit là du véritable changement de paradigme qu’apporte cette certification.

🔎 Dois-je me faire certifier?

Voilà la question qu’on a beaucoup entendu après l’annonce de la nouvelle certification. La couche 5, qu’on a présenté précédemment, a posé beaucoup de problèmes car elle inclut un très (trop?) grand nombre d’entreprises.

Le réflexe de ces entreprises, sûrement en lien avec l’ancien agrément, a été de dire qu’elles s’appuyaient sur des hébergeurs ayant une certification sur toutes les couches et donc qu’elles étaient, par transitivité, en règle avec la réglementation. Ceci est bien entendu complètement faux.

Même si votre hébergeur est certifié sur la couche 5 (Azure par exemple), vous avez tout de même la responsabilité de l’infogérance de votre infrastructure (sécurisation, déploiements, journalisation, disponibilité, etc…).
Un peu de bon sens: Est-ce qu’une plateforme comme Azure vous interdit de supprimer votre base de donnée ou vous oblige à mettre en place une traçabilité des accès? Absolument pas. Il s’agit bien entendu de votre responsabilité, les plateformes cloud ne fournissent que des outils pour faciliter ce travail, pas le faire à votre place.

Mais alors, pourquoi certains fournisseurs d’infrastructures (comme Microsoft, Google ou OVH) se sont-il fait certifier sur cette couche? Voilà une ambiguïté intéressante. La réponse peut prendre deux formes:

• Ils vendent des logiciels en mode SaaS qui traitent de la donnée de santé (ex: Office 365 ou Gsuite utilisés dans un hôpital). Dans ce cas, la couche 5 est bien entendu nécessaire pour commercialiser ces produits.
• Ils ne veulent prendre aucun risque, l’ASIP ne s’étant pas arrêtée dans les choix des différentes couches et des activités liées (ils ont d’ailleurs remis à l’étude le périmètre de la couche 5).

Amazon Web Services, par exemple, ne s’est pas fait certifier sur la couche 5, c’est bien qu’il doit y avoir une raison!

L’équation est finalement assez simple: Soit vous externalisez complètement votre infogérance chez un prestataire, soit vous vous faites certifier, soit vous utilisez une plateforme comme Kuranda.

🛣 La route vers la certification

La décision de se faire certifier a finalement été très simple à prendre compte tenu de la nature de notre produit: un backend certifié HDS permettant de très facilement stocker et gérer des données de santé.

On peut lister rapidement les bénéfices qu’on y voyait déjà à l’époque:

• Impossible de vendre un tel produit sans une preuve tangible de nos compétences pour gérer des données aussi sensibles, surtout en tant que startup.
• Hors de question d’externaliser un développement, quel qu’il soit. La gestion de l’infrastructure étant au coeur de notre produit, utiliser un infogéreur est tout simplement inconcevable: perte en agilité et en vitesse d’itération — on ne souhaite pas ouvrir un ticket auprès d’un prestataire à chaque mise à jour de notre plateforme, c’est à dire tous les jours.
• La difficulté d’un tel processus semble énorme, surtout pour une entreprise comme la notre. C’est clairement une opportunité d’installer une barrière à l’entrée importante.
• HDS se base à 80% sur la norme internationale ISO27001 qui est en fait un socle commun aux différentes réglementations autour de la protection des données, notamment en santé. Par exemple, la réglementation américaine (HIPAA) s’appuie en grande partie sur cette norme. On prépare donc déjà l’exportation de notre produit.
• Notre produit certifié HDS est une troisième voie pour les entreprises. En intégrant Kuranda, une entreprise se décharge de l’infogérance des données de santé car les données ne font que transiter temporairement. Le fait de proposer le produit par API permet dans le même temps de rendre la maîtrise et l’agilité de développement totale à nos clients.
• Il s’agit d’une formidable opportunité de structurer l’entreprise. Les startups ont généralement très peu de processus en interne et c’est l’occasion de commencer à le faire chez nous.

Cette expérience nous a bien entendu permis d’effectuer quelques learnings que l’on vous partage volontiers en espérant vous faciliter la tâche et vous éviter quelques erreurs.

1. Faire une formation

Votre premier réflexe sera d’acheter la norme ISO27001 puis de la lire. Vous serez alors plongé dans un océan d’incertitudes. Ne vous inquiétez pas, c’est tout à fait normal: le monde de la norme a ses propres codes, son propre langage et son lot d’ambiguités.

La première étape: se faire former par un expert de la norme. Cela a clairement été d’une importance cruciale pour nous. Sans cela, on serait encore en train de tenter de comprendre la première section de la norme. Nous avons suivi une formation auprès de HS2 de Hervé Schauer, lui-même connu comme le loup blanc sur les sujets de cybersécurité en France. Nous conseillons donc HS2 à toutes les entreprises qui entament un processus de certification.

Coût total — 3774€ H.T

• Formation — 3534€ H.T
• Achat des normes — 240€ H.T

2. La norme comme culture

Compte tenu de la quantité massive de travail que l’implémentation de la norme représente, surtout pour une startup avec des ressources limitées, il vaut mieux profondément s’approprier la norme et réussir à fondre le travail dans son daily work: vous en ferez alors une force au lieu d’en faire un énorme fardeau!

Une de nos erreurs à été par exemple de désigner une personne en interne pour s’occuper de ce sujet de bout en bout. Après 4 mois de travail, on se retourne et on voit un projet annexe qui ne semble plus du tout faire sens pour l’entreprise.

Créer un système de management de la sécurité de l’information peut être un formidable moyen de se structurer et d’écrire une page fondatrice de sa culture d’entreprise. À l’inverse, cela peu aussi devenir un énorme fardeau. Pour preuve, de nombreuses entreprises perdent leur certification après une année car elles n’ont pas forcément réussi à ancrer les concepts de la norme au sein de leur culture. Attention donc avec cela.

3. Son auditeur interne

Une partie importante de ce processus repose sur un audit interne qui est d’ailleurs obligatoire et demandé par la norme. Grosso modo, un consultant externe à l’organisme de certification doit venir sur 5 jours pour effectuer un audit complet du système. Il s’agit, en d’autres termes, d’une répétition générale et donc d’une formidable opportunité de mesurer votre couverture de la norme et le travail qu’il reste à accomplir.

Nous avons eu la malchance d’en choisir un très, très, très mauvais. Ce consultant nous avait pourtant été recommandé et semblait avoir un très bon CV (consultant responsable de la sécurité de l’information pour des entreprises du CAC40).
Le rapport qu’il nous a fourni était d’une qualité déplorable et complètement en décalage avec ce qu’on avait montré durant l’audit. Petit florilège:

Fautes d’orthographe

Phrases incomplètes

Mauvaises dates

Conclusions du rapport d’autres entreprises

Ce rapport est très important pour la suite, notamment pour les audits suivants. Vous devez en effet montrer que vous avez amélioré votre système, d’un audit au suivant. Ici, c’était assez compliqué tant la fiabilité du rapport laissait à désirer…

Coût total — 3400€ H.T
Ne vous inquiétez pas, on a pas mal négocié après avoir vu le rapport :-)

4. Bien choisir son organisme certificateur

Il existe plusieurs organismes certificateurs et donc ce n’est pas forcément simple de s’y retrouver. Il faut pourtant bien le choisir car vous allez tout même passer pas mal de temps ensemble.

Par exemple, un point qu’on a du prendre en compte pour notre cas était notre petite taille. Il est vrai que ces organismes n’ont pas l’habitude de certifier des startups et donc il faut les sonder pour voir s’ils vous prennent au sérieux.

Nous avons choisi BSI car ils semblaient avoir une grande ouverture d’esprit et comprendre le contexte de notre entreprise. Ce choix s’est avéré payant puisque nous avons passé des très bons moments avec eux, même durant les audits. Nous recommandons donc chaudement BSI.

Coût total— 12370, 26€ H.T

• Pre-Audit — 1423,60€ H.T
• Audit documentaire — 2230,89€ H.T
• Audit final — 8715,77€ H.T

✊ Conclusion

On va pas vous le cacher, sortir quasiment 20k€, pour une startup, ce n’est pas si facile que cela. Nous pensons cependant toujours aujourd’hui qu‘il s’agit d’une milestone extrêmement importante pour nous qui va permettre de rassurer nos clients et d’en convaincre sûrement aussi beaucoup d’autres.

Il y a aussi les coûts qu’on ne voit (mesure ?) pas: le coût humain est sûrement 10 fois supérieur. Lorsqu’on travaille sur la certification, on ne travaille pas sur son produit et on passe moins de temps à rencontrer son marché. Pour une startup, où le temps est vraiment compté, je dirais que les 11 mois de travail devraient beaucoup plus vous inquiéter que la dépense financière.

De plus, il y a la taille de votre entreprise. Mettre en place la certification dès qu’on dépasse 10, 20 personnes augmente les coûts de façon exponentielle et le risque d’échec.

Vous avez des questions? Contactez-moi directement sur linkedin 🔗

Coût total — 19544,26€ H.T + 11 mois de travail…

👇 Découvrez Kuranda

• Notre site internet
• La documentation de l’API