Comment obtenir les certifications ISO 27001 et HDS ?

Publié le 15 février 2022

« Le Système de Management de Ma-Sauvegarde a été évalué en accord avec les exigences de Système de Management reprises dans ISO 27001:2017. »

Outre la fierté collective et la satisfaction générale que procurent ces quelques mots posés sur un certificat, cette mention est l’aboutissement d’un travail de plus de 15 mois !

Si vous préparez l’obtention de la double certification ISO 27001 et HDS, notre retour d’expérience vous sera sûrement utile !

Définitions des normes et certifications

Pourquoi passer cette double certification : ISO 27001 et HDS ?

A l’origine de ce projet d’envergure, la fin de l’agrément HADS (Hébergeur Agréé de Données de Santé) qui habilitait les hébergeurs de données à stocker des données de santé à caractère personnel (DSCP), jugées particulièrement sensibles ! Délivré par l’ANS (Agence du Numérique en Santé), il fixait des règles spécifiques pour assurer un service d’hébergement sûr. Mais en 2018, l’ANS a souhaité renforcer la sécurité et la fiabilité des hébergeurs de données de santé en créant une nouvelle norme : la certification HDS (Hébergeur de Données de Santé). L’agrément HADS étant délivré pour 3 ans, les derniers dossiers ont été renouvelés jusqu’en mars 2021. La certification HDS devient donc obligatoire en 2021 pour les entreprises qui, comme Ma-Sauvegarde, traitent des données de santé !

D’une formalité administrative, on passe à une norme internationale dont l’attribution est basée sur des audits d’organismes certificateurs indépendants et dont les exigences reposent sur la norme ISO 27001, qui devient un préalable à la certification HDS (Hébergeur de Données de Santé).

Notre cœur de métier, c’est la sauvegarde de données et nous comptons parmi nos partenaires et leurs clients finaux, beaucoup de professionnels de santé. Pour continuer à protéger les données de santé avec toujours plus de sécurité, nous avons choisi de préparer, dès le mois de septembre 2019, non pas 1 mais 2 certifications : ISO 27001 et HDS.

Qu’est-ce que la norme HDS ?

La norme HDS (Hébergeur de Données de Santé) permet de protéger les données de santé à caractère personnel et d’adapter la sécurité à la criticité des données. Les données de santé à caractère personnel sont des données dites sensibles. On entend par données de santé à caractère personnel, « les données relatives à la santé physique ou mentale, passée, présente ou future d’une personne physique qui révèlent des informations sur l’état de santé de cette personne. »

Toute personne physique ou morale qui traite des données de santé à caractère personnel doit être certifiée HDS.

La norme HDS porte sur 5 chapitres et 54 mesures de sécurité.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 vise à l’amélioration continue du Système d’Information (SI). Elle a pour but de préserver la confidentialité, l’intégrité et la disponibilité de l’information en appliquant une organisation fondée sur la gestion des risques. Elle définit une gestion globale et un cadre de contrôle afin de traiter les risques liés à la sécurité de l’information.

Orientée processus, elle spécifie les exigences relatives à la mise en œuvre, le maintien en condition opérationnelle, la mise à jour et l’amélioration continue d’un Système de Management de la Sécurité de l’Information (SMSI). Sa mise en place est basée sur une démarche PDCA (Plan – Do – Check – Act) ou Roue de Deming.

La norme ISO 27001 porte sur 14 chapitres et 114 mesures de sécurité.

Quels sont les avantages de la certification ISO 27001 et HDS ?

Notre activité de sauvegarde externalisée nous amène à héberger une grande quantité de données de santé à caractère personnel. Cette certification présente de multiples avantages pour notre société :

  • Amélioration du niveau de sécurité existant
  • Réduction des risques d’exposition à la cybercriminalité
  • Amélioration des processus
  • Avantage concurrentiel
  • Amélioration continue du Système d’information (SI)
  • Confiance accrue et fidélisation de nos partenaires

Nos partenaires et leurs clients finaux voient également les bénéfices directs de la certification :

  • Service de sauvegarde certifié ISO 27001 fiable et robuste
  • Garantie de moyens pour assurer la confidentialité, l’intégrité et la disponibilité des données
  • Gestion de la sécurité renforcée à tous les niveaux
  • Conformité aux règlements comme le RGPD, règlement général de protection des données
  • Tranquillité pour le client qui se concentre sur son cœur de métier

Retour sur notre propre expérience

Quelles ont été les principales étapes de la certification ISO 27001 et HDS ?

Pour commencer, il faut mettre en place un Système de Management de la Sécurité de l’Information (SMSI) conforme aux exigences de certification.

Comme beaucoup de petites entreprises, nous avions peu de procédures écrites. Tout était donc à produire : politiques, procédures, modes opératoires, outils de pilotage et de suivi. Car le maître mot, c’est la traçabilité ! Être accompagné par un cabinet indépendant, spécialisé en cybersécurité, représente un coût important mais aussi un facteur clé de réussite. Leurs conseils et leurs modèles nous font gagner un temps précieux mais cela ne se fait pas tout seul. Sans l’adhésion d’une équipe convaincue et sans l’engagement de la direction générale, l’audit est voué à l’échec.

La première étape a donc été de choisir la société qui allait nous accompagner vers la certification.

Ensemble, nous avons commencé par une étude de faisabilité et une étude détaillée des pratiques existantes qui ont permis d’évaluer la maturité du Système d’Information de l’entreprise par rapport aux exigences de la norme. Une analyse de risque menée avec la méthode EBIOS est venue compléter le premier cycle de la roue de Deming (Plan-Do-Check-Act), la phase PLAN. Tout ceci a permis de déterminer les actions à réaliser couvrant les mesures de sécurité du référentiel de la norme et dont l’objectif est de réduire les risques et de formaliser la politique du SMSI.

Mais avons-nous les ressources nécessaires pour ce projet ? C’est l’étape de l’identification des besoins humains et techniques.

La norme ISO 27001 portant sur le management de la sécurité et de l’information, notre Responsable technique est devenu aussi Responsable Sécurité du Système d’Information (RSSI) et a piloté le projet avec une équipe composée du Directeur Général, un Responsable des Ressources Humaines, un RSSI suppléant et de tous les collaborateurs spécialisés et concernés par le périmètre de l’ISO 27001.

Pour les besoins techniques, nous avons recensé les mesures de sécurité et les outils nécessaires, comme un bastion, un SIEM (Security Information and Event Management), un système de mise à jour automatisé…

Une fois la politique du Système de Management de la Sécurité de l’Information (SMSI) choisie, les risques identifiés, les actions planifiées, il faut mettre en œuvre les objectifs fixés dans le SMSI, nous entrons dans la phase DO du PDCA, celle liée à l’implémentation du SMSI.

Vient ensuite la phase CHECK du plan qui consiste à mettre en place des moyens de contrôle pour s’assurer de l’efficacité et de la conformité du Système de Management de la Sécurité de l’Information : contrôles, audits internes, revues de direction, COPIL, CODIR sont autant d’outils qui nous permettent de repérer les non-conformités et de les corriger avant la certification.

Et pour finir, tout ce qui est identifié comme dysfonctionnement, ou qui pourrait l’être, doit être traité par des actions correctives, préventives ou d’amélioration. C’est la phase ACT du PDCA, la dernière partie du cycle, celle qui vise à l’amélioration et la mise à jour du SMSI.

Comment s’est déroulé notre audit de certification ?

L’audit de certification s’est effectué en 2 temps. Pour passer à la seconde phase, il a d’abord fallu réussir la première : la validation du corpus documentaire. Ensuite l’audit de certification a été réparti sur 3 journées où les acteurs du SMSI ont été audités sur la base de notre déclaration d’applicabilité.

Nous avons dû attendre quelques semaines pour que le comité de certification valide l’avis favorable émis par l’auditeur et que nous soyons officiellement certifiés. Nous avons obtenu notre double certification ISO 27001 et HDS en janvier 2021.

Que s’est-il passé depuis notre audit de certification ?

Depuis l’obtention de la double certification, nous avons réussi notre premier audit de surveillance, en décembre 2021 et travaillons à l’amélioration continue de la sécurité de notre Système d’Information qui consiste principalement à :

  • Corriger les non-conformités mineures soulignées lors des audits
  • S’assurer de la conformité du SMSI par des contrôles et audits internes
  • Œuvrer au maintien des certifications ISO 27001 et HDS
  • S’adapter aux évolutions de la norme

L’année 2022 va être riche en changements, une nouvelle norme 27002 et une nouvelle norme HDS devraient voir le jour cette année. Nous réitérons notre volonté de démontrer nos bonnes pratiques de sécurité, gage de qualité et de confiance pour nos partenaires et clients.

Notre RSSI développera prochainement dans une interview, les difficultés et les freins rencontrés mais aussi la valeur apportée pour l’entreprise et les collaborateurs.

Suivez-nous sur linkedin pour ne rien rater !

Recommend
Share
Tagged in