Quel est le duo gagnant pour la réussite de votre transition numérique ? Partie 2

L’engagement contractuel de transparence des prestataires

Souffrant d’une insuffisance de transparence de la part des prestataires de Cloud quant au périmètre de réalisation des prestations, les Directions d’établissement de Santé (souvent leurs propres responsables de traitement des données personnelles ) sont souvent hésitants quand il s’agit de souscrire à des services de cloud dans le cas d’offres standardisées avec des contrats d’adhésion ne leur laissant pas la possibilité de les négocier.

Où sont stockées mes données ?

Y a t’il une sécurité suffisante concernant les données personnelles de Santé ?

Sont-elles envoyées à l’étranger et si oui, dans quel pays? Pour quel usage ?

Est ce que c’est en conformité avec le RGPD ? et y a t’il une certification HDS ?…

Si les offres proposées de Cloud peuvent présenter des niveaux de sécurité supérieurs à ceux que peuvent garantir les établissements, prendre conscience que le Cloud génère de nouveaux risques est nécessaire pour demander aux prestataires de pouvoir en justifier la maîtrise et les formaliser dans les contrats de prestation de services. L’objectif étant que les chefs d’établissements puissent prendre des décisions éclairées pour prendre en compte l’ensemble des considérations tant économiques, juridiques que techniques.

Savez- vous qu’un contrôle de la CNIL peut être déclenché à la suite d’ une réclamation ou une plainte ?

En cas de contrôle de la CNIL, il s’agit pour le chef d’entreprise (qui est souvent son propre responsable du traitement des données )de :

  • Offrir toutes les garanties nécessaires en terme de protection de données personnelles et de sécurité au regard de la Loi
  • Satisfaire aux obligations légales qui incombent au chef d’entreprise en sa qualité de responsable de traitement
  • Ne pas s’exposer à un risque élevé de non conformité à la législation en vigueur

Les recommandations de la CNIL

Toutes les données intéressent désormais les hackers, même les données les plus anodines qui vous semblent ordinaires car associées entre elles, elles ont de la valeur.

Fondée sur une analyse de risques qui guide la gestion des priorités dans les niveaux de précautions d’usage des données personnelles à caractère sensible, la CNIL propose les recommandations suivantes:

  • Identifier clairement les données et bien sélectionner les traitements qui passeront dans le Cloud
  • Définir ses propres exigences de sécurité technique et juridique
  • Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour votre entreprise
  • Identifier le type de cloud pertinent pour le traitement envisagé
  • Choisir un prestataire présentant des garanties suffisantes
  • Revoir la politique de sécurité interne
  • Surveiller les évolutions dans le temps

L’opportunité d’une révision complète des procédures internes en gardant pour fil conducteur ces 5 valeurs à vos données :

  • Portabilité : la restitution des données en fin de prestation ou en cas de rupture anticipée de contrat dans un format structuré et couramment utilisé
  • Hébergement : Des indications claires et exhaustives des pays hébergeant les centres de données du prestataire où les données sont traitées
  • Disponibilité : les mesures nécessaires pour assurer la disponibilité, l’intégrité et la confidentialité des données ( le chiffrement …)
  • Sécurité : protection du réseau, authentification, sauvegarde et intégrité, conduite de service ….
  • Traçabilité : accès aux journaux de traçabilité des actions effectuées par les données

Intégrer (aussi) la sécurité numérique

Si la dématérialisation des données et des applications fait baisser nettement les investissements informatiques et réduire les coûts (diminuer le risques d’erreurs ou de pertes de documents, coûts liés au traitement manuel des requêtes ….), les Directions doivent aussi penser à renforcer un poste de plus en plus stratégique : la sécurité numérique.

Si le risque augmente, la place de la sécurité numérique doit augmenter (aussi).

Si vous trouvez qu’un haut niveau de cybersécurité coûte cher, vous ne savez pas combien un bas niveau de cybersécurité va vous coûter.

Parce qu’il introduit des nouveaux risques liés en particulier aux transmissions réseaux par internet ou à l’utilisation de terminaux mobiles ou nomades, une attention particulière doit être apportée aux (nouveaux)  risques auxquels vous vous exposez.

A fortiori quand il utilise des données personnelles à caractère sensible comme les données de Santé.

Nouvelle discipline pour les nouveaux risques générés par la croissance exponentielle des usages, la sécurité dans le cloud est une discipline de la cybersécurité dédiée à la sécurisation des systèmes informatiques dans le cloud.

Aujourd’hui, installer un simple pare- feu ne suffit plus.

Savez- vous qu’à ce jour aucune disposition n’est prévue en cas de faillite de l’entreprise si par exemple vos utilisateurs ne peuvent pas avoir accès à leurs données?

Savez- vous que les assurances sont de plus en plus frileuses pour ne pas dire hermétiques en cas de rançons par piratage inopiné ( rançongiciel)?

Demain, il arrivera peut-être même le jour où les assureurs refuseront d’assurer une entreprise car son niveau de sécurité numérique est trop bas.

Pour aller plus loin, c’est même la priorité nationale pour les Etats- Unis face à la menace grandissante des attaques informatiques de grande envergure qui préoccupe également l’Agence Nationale française de la Sécurité des Systèmes d’ information (ANSSI) pour qui “ la menace croît, plus grand monde n’est à l’abri”.

 » Il est inacceptable que des gens auxquels on dit: « vous êtes assis sur une bombe » ne traitent pas la question

Guillaume Poupard, Directeur Général de l’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.