A lui seul, le « bastion » proposé par l’hébergeur ne suffit pas à optimiser la sécurité de vos données. A l’heure où le nombre de hackings de données de santé ne cesse d’augmenter, tous les acteurs de la chaîne (hébergeur, éditeur, établissements de santé…) sont responsables en termes de cybersécurité. Pour définir clairement les rôles de chacun, la formalisation contractuelle avec l’hébergeur est une étape clé. Suivez le guide étape par étape pour bâtir un contrat orienté cyber !
Étape 1 : cartographiez les risques et les données
Avant même de penser au cahier des charges, le responsable de traitement doit réaliser une cartographie des risques. Cet audit permet de mettre en lumière les éventuelles failles et besoins en termes de sécurisation. Il permet aussi de mettre en oeuvre les mesures techniques et organisationnelles permettant de réduire les risques.Par ailleurs, il est essentiel de procéder à une cartographie précise de l’emplacement des données de santé. À l’heure où les applications de santé et interfaces de relation avec les patients se multiplient, le responsable de traitement doit savoir quels types de données transitent par quels logiciels et systèmes. Cela peut sembler « basique » mais cela n’est pas si simple. Il est en effet déjà arrivé que des data centers hébergent des données de santé sans le savoir ! GaëlleGaëlle Tilloy, avocate, le rappelle : « l’hébergeur n’est pas forcément informé du type de données qu’il héberge. C’est au client d’indiquer le type de données qu’il va mettre sur les serveurs ». La meilleure façon d’éviter le problème est de procéder à une cartographie précise des données et des traitements associés.
L’avis de Jean-Pierre Forestier, responsable sécurité des SI chez Easyteam
« Mon premier conseil ? Faites d’abord votre audit de risque »
Faites votre audit des risques, c’est la première étape ! Si j’avais un seul conseil à donner, ce serait sans doute celui-ci. Cette partie est notamment cruciale pour les entreprises qui optent pour une solution d’hébergement avec infogérance. C’est en effet sur cette partie que se concentrent souvent les risques. Il est par ailleurs essentiel de faire un audit sur les applications. Trop souvent, quand les clients choisissent un logiciel métier, ils regardent d’abord l’interface. Ils sont moins vigilants sur les procédures de sécurité… or c’est là que les failles sont les plus nombreuses. »
Étape 2 : rédigez le cahier des charges
Une fois l’audit réalisé, vous aurez une vision claire de vos besoins en matière d’hébergement des données et d’infogérance. Vous pourrez passer à l’étape de rédaction du cahier des charges.Dans l’idéal, cette étape doit se réaliser main dans la main avec le service juridique. En effet, plus le service juridique est impliqué en amont, plus la question du partage des responsabilités « client / hébergeur » est mise en lumière tôt dans le process, plus les négociations ultérieures sont fluides.
« Rédiger le cahier des charges en mode collaboratif, en associant achat, DSI et juridique c’est sans doute une bonne pratique à développer » Gaëlle Tilloy, avocate en droit du numérique
Étape 3 : négociez et rédigez le contrat
Bien sûr, le contrat a pour vocation de décrire précisément le périmètre et les prestations confiées à l’hébergeur, aussi bien en termes techniques (serveurs mis à disposition, redondance…), qu’organisationnels (délais d’intervention en cas de problème, développeurs mis à disposition…). Mais il doit aussi être très précis sur les responsabilités de chaque partie, notamment en matière de gestion des risques et de protection des données. Des clauses spécifiques doivent être dédiées à ces sujets. Dans l’idéal, il est souhaitable d’attacher au contrat des documents comme le Plan d’Assurance Qualité ou le Plan d’Assurance Sécurité. Bien sûr, le contrat a pour vocation de décrire précisément le périmètre et les prestations confiées à l’hébergeur, aussi bien en termes techniques (serveurs mis à disposition, redondance…), qu’organisationnels (délais d’intervention en cas de problème, développeurs mis à disposition…). Mais il doit aussi être très précis sur les responsabilités de chaque partie, notamment en matière de gestion des risques et de protection des données. Des clauses spécifiques doivent être dédiées à ces sujets. Dans l’idéal, il est souhaitable d’attacher au contrat des documents comme le Plan d’Assurance Qualité ou le Plan d’Assurance Sécurité.