Une démarche HADS initiée dès 2015
La démarche de demande d’agrément HADS (Hébergeur Agréé de Données de Santé) a été initiée par HEXANET dès 2015 au sein de son agence du Mans.
Bénéficiant de l’expertise du Cabinet Vincent Trely, l’entreprise a ainsi pu formaliser l’ensemble du corpus documentaire exigé par le ministère de la santé en matière de contractualisation et d’exploitation des services d’hébergement, de sécurité de l’information, de droits à la personne et d’organisation.
Après quelques années d’attente, l’agrément HADS d’HEXANET a finalement été officialisé par le ministère de la santé et inscrit au journal officiel le 15 mars 2018, pour une durée de trois ans, soit jusqu’au 15 mars 2021.
Un contexte normatif en mouvement
Avant même l’obtention de son agrément, et dans un contexte de recrudescence du risque lié à la connexion aux réseaux publics, HEXANET a pu constater l’évolution du marché de l’hébergement en direction d’une exigence de plus en plus forte en matière de normalisation. Ainsi, l’accès à certains types de marchés requière désormais un niveau de certification minimum, et la norme ISO 27001, consacrée à la sécurité de l’information, s’est progressivement imposée dans le paysage des hébergeurs de données.
Parallèlement, la procédure d’agrément des Hébergeurs de Données de Santé (HDS) a été remplacée par les pouvoirs publics, en janvier 2018, par une nouvelle certification HDS. Celle-ci s’appuie sur un référentiel constitué de plusieurs normes et exigences dont ISO 27001, ISO 20000 et ISO 27018.
Ainsi, au cours du processus d’obtention de son agrément, HEXANET a souhaité inscrire dans sa démarche qualité l’implémentation des normes lui permettant de proposer à sa clientèle le meilleur niveau de sécurité des informations hébergées.
Une seconde étape structurante : la certification ISO 27001
Née de la volonté d’HEXANET de capitaliser sur le travail réalisé dans le cadre de l’obtention de l’agrément HADS et en vue d’une certification HDS, l’implémentation de la norme ISO 27001 a été initié au début de l’année 2018. Accompagnée par l’organisme AFNOR CERTIFICATION, HEXANET a ainsi obtenu la certification ISO 27001 en janvier 2019.
Formé à l’implémentation des normes et spécialisé dans le domaine de la sécurité, le personnel d’HEXANET a poursuivi la mise en place de son Système de Gestion de la Sécurité de l’Information (SMSI) au cours de l’année 2019.
Ce SMSI s’applique sur un domaine constitué de trois processus : la fourniture d’un espace physique d’hébergement (housing), la transmission de données et la fourniture de services d’hébergement en mode SAAS.
En application stricte de la méthodologie PDCA (Plan-Do-Check-Act), un comité qualité et sécurité a été chargé par la direction d’actualiser la politique générale de sécurité de l’information et de formaliser les chartes et politiques spécifiques. Ce comité est également en charge de la mise à jour de l’analyse de risques, structurant l’ensemble de la démarche sécurité. D’autre part, un plan d’action global a été établi afin de piloter l’ensemble des mesures que HEXANET a décidé de mettre en œuvre dans le cadre de son SMSI.
Enfin, un travail de formalisation et de sensibilisation de l’ensemble du personnel est réalisé en permanence par HEXANET afin d’assurer la maîtrise des processus métiers liés à l’hébergement des données de santé.
L’ensemble de la démarche a conduit l’organisation à améliorer le niveau de qualité des services proposés et à assoir son expertise en matière de sécurité de l’information.
Consolidation des pratiques au travers de l’ISO 20000
L'ISO 20000 est une norme de système de management des services (SMS). Elle spécifie les exigences destinées aux fournisseurs de services pour planifier, établir, implémenter, exécuter, surveiller, passer en revue, maintenir et améliorer un SMS. Ces exigences incluent la conception, la transition, la fourniture et l'amélioration des services afin de satisfaire aux exigences de services.
Soucieuses d’assurer la cohérence de la démarche qualité au sein de l’entreprise, les équipes d’HEXANET ont structuré la documentation d’exploitation en se référant à cette norme ISO 20000. Celle-ci est en partie incluse dans le référentiel HDS et il s’avérait pertinent d’envisager la généralisation de son adoption au sein d’HEXANET.
Ainsi, au cours de l’année 2019, HEXANET a constitué son propre SMS en intégrant l’ensemble des processus liés à la stratégie, le design, la livraison et la résolution des services d’hébergement.
La culture ITIL (Information Technology Infrastructure Library) des collaborateurs a favorisé l’appropriation des exigences liées à l’ISO 20000 au sein d’HEXANET.
Certification HDS
Le processus d’implémentation du référentiel de certification HDS a été Initié par HEXANET au cours du printemps 2019.
Nourrie de l’ensemble des travaux réalisés depuis 2015 – la structuration de son offre de service HADS, l’implémentation des normes ISO 27001 et ISO 20000 – et évalué sur sa conformité aux exigences de la norme au cours d’un audit réalisé par l’AFNOR en automne 2019, HEXANET a pu obtenir la certification HDS en février 2020.
Cette certification HDS offre à HEXANET une reconnaissance de sa capacité à opérer des services d’hébergement de données en toute sécurité, pour des secteurs d’activités exigeants comme celui de la santé, l’industrie, la banque ou encore l’agro-alimentaire.
L’expertise solide d’HEXANET en matière d’engagement de services, de respect des données personnelles et application du RGPD, de respect du droit des personnes et de transparence font de cet Hébergeur de Données de Santé (HDS) un partenaire éthique et fiable.