IT BtoB European Collaborative Webzine for leaders

Microsoft certifié Hébergeur des Données de Santé

publié le jeudi 29/11/2018

Le premier éditeur de logiciels mondial a fait sensation mi-novembre en annonçant qu’il avait décroché la très convoitée certification Hébergeur des Données de Santé (HDS). Microsoft peut donc héberger désormais les données médicales confidentielles des Français dans son Cloud public. Une annonce diversement accueillie par ses partenaires.

 

 

Les patients français sont-ils prêts à mettre leurs précieuses données médicales confidentielles dans un Cloud public, américain de surcroît, et donc soumis au Patriot Act et au Cloud Act américains ? L'Agence Française de la Santé Numérique (ASIP Santé) semble considérer que ce n’est plus un problème puisqu’elle a décerné cet automne la nouvelle version de la très convoitée certification Hébergeur des Données de Santé (HDS) à... Microsoft. Une annonce réalisée la semaine où le Gouvernement dévoilait la xième tentative pour tenter de créer un vrai dossier numérique du patient (DPA).

 

Depuis le décret n°2006-6 du 4 janvier 2006, actualisé plusieurs fois entre-temps, dont en juin 2018, tous les hébergeurs et infogéreurs désireux de traiter et héberger des données de santé sur support numérique doivent être certifiés par le Gouvernement français.

 

Les données doivent rester hébergées et traitées en France

Précisons que le périmètre de certification HDS varie selon les acteurs et les services IT proposés. « Le périmètre concerne notamment les 4 datacenters français où Microsoft est présent. C’est important car cela signifie que nous conservons obligatoirement les données des patients en France et qu’il est leur possible d’identifier la localisation de leurs données », explique Alfonso Castro, directeur de la stratégie Cloud de Microsoft en France.

Le fait que les données traitées et hébergées par l’éditeur de Redmond le soient chez des spécialistes de la colocation, du type Equinix et Interxion, « ne change rien, car ils répondent tous aux mêmes exigences en termes de sécurité et de procédure de Microsoft qui, je le rappelle, est présent dans quelques 150 datacenters à travers le monde », précise Alfonso Castro.

 

Microsoft a obtenu la certification HDS en seulement 4 mois !

Microsoft a battu un record, celui d’obtenir en seulement 4 mois, contre 12 en moyenne via un cabinet de conseil spécialisé accrédité par le comité Cofrac, la certification HDS valable trois ans. Il n’est nullement question de passe-droit ici. Microsoft a simplement bénéficié d’un dispositif de la loi qui stipule que les dossiers déposés sont examinés rapidement, si les demandeurs détiennent déjà au moins deux des normes internationales ISO sur les infrastructures IT, dont la 27001 (« système de gestion de la sécurité des systèmes d’information ») et la 20000-1 (« système de gestion de la qualité des services »).

 

Si le candidat détient également l’ISO 27018, ce qui est le cas de Microsoft ou d’AWS par exemple, c’est un vrai plus. En effet, cette norme internationale établit pour les hébergeurs et fournisseurs de services Cloud de nouveaux contrôles sur la confidentialité des données stockées, parmi lesquels la séparation entre les environnements de développement, ceux  de test et les environnements opérationnels lorsque des données à caractère personnel sont utilisées pour des tests, la gestion de la sauvegarde d’informations impliquant plusieurs copies de données, la récupération et l’effacement de ces informations.

 

Une centaine d’hébergeurs et infogéreurs déjà certifiés, dont certains félicitent Microsoft pour sa certification HDS

Une certification HDS coûteuse et complexe à obtenir, mais qu’avaient déjà décroché une centaine d’hébergeurs et infogéreurs français, dont Claranet/Diademys, Cheops TechnologyDCforData, Hisi, ITS Integra, OVH, Sewan, Sigma, Sopra, etc.

 

Après enquête, CBP a constaté que l’obtention de la certification HDS par Microsoft n’a pas choqué la majorité de ces acteurs. Bien au contraire parfois. Un MSP comme Claranet s’en félicite par exemple. Il a d’ailleurs dévoilé aussitôt un accord avec Microsoft : « Ce nouveau positionnement de Microsoft va permettre à Claranet de proposer des services managés à destination des acteurs de santé dans le Cloud public Azure. Les certifications et agréments des 2 sociétés sont parfaitement complémentaires. Microsoft ne proposant pas de services managés, il n’y a pas de concurrence entre les deux sociétés, mais un partenariat qui se construit depuis plusieurs mois sur le sujet de la santé », explique Christophe Jodry, directeur des offres e-Santé et PCI-DSS de Claranet.

 

Jan Gabriel, directeur Alliances et Marketing d’ITS Integra, le bras armé dans l’hébergement et l’infogérance de l’intégrateur ITS Group, perçoit également « Cette annonce (attendue) comme une opportunité. En effet, dans la mesure où les MSP comme ITS Integra intègrent de plus en plus des services de Cloud public dans leurs propositions de valeur (repackagées avec de l’infogérance, des services custom pour un client donné, etc.), et a fortiori chez MS Azure, cela comble un trou dans la raquette côté Cloud public pour certains. Or, un service de type HDS doit l’être de bout en bout, donc nous étions bridés pour proposer des approches multi-Cloud HADS (privé, mutualisé, hosted ou non, public) avec des services de cloud public ».

 

Egalement agréé HDS (aux niveaux 1, 2, 3, 4 et 6), l’infogéreur et hébergeur Coreye est partenaire Microsoft depuis longtemps. Lui aussi estime qu’il n’y a pas de soucis tant que l’éditeur de logiciels ne vend pas de services IT BtoB : « Coreye est bien un service provider à valeur ajoutée alors que Microsoft ou OVH seul ne fournissent qu'une infrastructure IT. Au travers de Pictime Groupe, un  partenaire Microsoft depuis plus de 15 ans, nous administrons déjà des plateformes Azure en dehors de la santé ».

 

Microsoft n’est pas non plus le seul fournisseur IT étranger à avoir décroché ce précieux sésame, qui ouvre grandes les portes du marché français de la santé, des hôpitaux publics (PHP) ou privés et du Dossier numérique du Patient notamment. Des hébergeurs ou fournisseurs IT tels que BT, Equinix, IBM, Interxion, Zayo, etc., sont déjà certifié HDS ou HADS (l’ancienne version du HDS). L’augmentation du nombre de certifiés HDS ou Hads va sans doute conduire, à terme, à un phénomène de consolidation qui verra le rapprochement de certains acteurs

 

Olivier Bellin

bellin@channelbp.com,

#CBPMagazine, #channelbp.com, #CBP, #Bellin, #BellinCBP, #GUIDECLOUD

Moyenne: 3.3 (4 votes)
Réseaux sociaux :
Twitter Facebook Google LinkedIn

Autres articles sur le même sujet :

Mots clefs :