Projet Sécurité : RSS

Mastère Spécialisé Cloud Computing et SaaS, 2014/2015

Présenté par:
Dao Kasysavanh - Sébastien Kieger - Stéphane Ewbank - Yassir Qrichi

JURY
PRESIDENT: O. Caleff

MEMBRES: J. Lemée
T. Chiofalo
Table des matières

Contenu
I. Présentation globale de la solution ............................................................................................. 3
I.A Les fonctionnalités ...................................................................................................................... 3
I.B Les acteurs ................................................................................................................................... 4
I.C SWOT ............................................................................................................................................ 5
II. Analyse de sécurité ........................................................................................................................... 6
II.A Contexte ....................................................................................................................................... 6
II.B Surface d’attaque ........................................................................................................................ 7
II.C Les menaces ............................................................................................................................... 7
II.D Mise en place d’un SMSI ............................................................................................................ 8
II.E Analyse de risque ....................................................................................................................... 9
II.F Solutions de sécurité cloud ..................................................................................................... 10
II.G Principales mesures de contrôles de sécurité ...................................................................... 11
II.H Les engagements de sécurité ................................................................................................. 12
II.I Audit interne ............................................................................................................................... 12
II.J Gestion des incidents ............................................................................................................... 12
II.K Gestion des évènements de sécurité ..................................................................................... 13
II.L Gestion des vulnérabilités........................................................................................................ 13
III. Caractéristiques techniques ......................................................................................................... 14
III.A Architecture technique ............................................................................................................ 14
III.B Prérequis................................................................................................................................... 15
III.C Grille tarifaire ............................................................................................................................ 16
IV. Services annexes ........................................................................................................................... 17
IV.A Unité d’œuvre .......................................................................................................................... 17
IV.B Migration................................................................................................................................... 17
IV.C PRA/PCA................................................................................................................................... 18
V. Aspects Juridiques ......................................................................................................................... 22
V.A L’agrément ASIP ....................................................................................................................... 22
V.B Les engagements de l’hébergeur et du professionnel de santé ......................................... 23
V.C Le contrat .................................................................................................................................. 25
VI. Contrat de service SLA : Qualité de service et niveau d’engagement ..................................... 29
VI.A Engagements ........................................................................................................................... 29
VI.B Indicateurs ............................................................................................................................... 30
VI.C Suivis ........................................................................................................................................ 30
VI.D Pénalités ................................................................................................................................... 31
Conclusion ........................................................................................................................................... 32
Glossaire .............................................................................................................................................. 33

2
I. Présentation globale de la solution

I.A Les fonctionnalités

La société RSS est un hébergeur agréé par l’Agence nationale des Systèmes
d’Information Partagés de santé (ASIP). Elle met à disposition des services de
connectivité, de sécurité et d’hébergement à destination des professionnels de santé.

RSS s’intéresse aujourd’hui au cloud, essentiellement pour des raisons de coûts et

pour répondre à la montée en charge de ses activités.

La solution proposée est de transformer RSS en un fournisseur de cloud public

mettant à disposition des services IaaS/SaaS à destination des professionnels de
santé :

• Hébergement: les données sont hébergées sur des plateformes haute

disponibilité accessibles 24h/24 et 7j/7;

• Sécurité: la solution garantie l’authentification et le contrôle des accès, le

chiffrement des flux et des données, la traçabilité et les éléments de preuves, la
disponibilité et l’accessibilité des services hébergés;

• Localisation: les données restent sur le territoire national;

• Sauvegarde: les sauvegardes se font en ligne depuis un logiciel de santé fourni

en mode SaaS;

• Messagerie sécurisée pour la télétransmission des FSE en mode SaaS;

• Assistance 24h/24H, 7j/7.

3
I.B Les acteurs
• Les professionnels de santé : médecins, dentistes, pharmaciens…

• Les professions paramédicales : kinésithérapeutes, infirmières, pédicures,

podologues, orthophonistes, orthoptistes, ergothérapeutes…

• Les fournisseurs de biens médicaux : audioprothésiste, oculariste, opticien-lunetier,

orthopédiste-orthésiste, orthoprothésiste, podo-orthésiste...

• Les laboratoires d’analyses médicales ;

• L’Assurance Maladie (AMO) ;

• Les Mutuelles complémentaires (AMC) ;

Scénarios possibles d’utilisation:

La solution doit répondre aux processus métiers suivants:

• Réceptionner les données des professionnels de santé;

• Héberger les données, transmettre des données à l’AMO et les AMC;
• Transmettre des informations aux professionnelles.

4
I.C SWOT

Forces Faiblesses Opportunités Menaces

SaaS -Pure - Dépendance totale à - Toujours sur - Isolement

consommation un fournisseur la dernière / Segmentation
- Hébergement - Offre non adaptable, version insuffisante
agréé non spécifique logicielle - Aucun contrôle
-Paiement à la - Aucune garantie sur - Possibilité de sur les mesures
consommation les évolutions et les changer de de sécurité
-Pas corrections des fournisseur -Territorialité
d’investisseme applicatifs assez - Contrat /SLA
nts (CAPEX) - Dépendance totale aisément. trop simplifié
- Pas de du réseau
personnel SI - Multi tenant
dédié. - Monitoring très
- Gestion restreint
interne de la - Coût de la migration
configuration
uniquement

Forces Faiblesses Opportunités Menaces

Iaas - Hébergement - Hébergement - Utilisation de - Isolement /

agréé Mutualisé si solutions de Segmentation
- Paiement à la cloud public sécurité insuffisante
consommation - clauses SLA complémentaires - Portabilité
- Elasticité non exhaustives spécifiques et - Réversibilité
- Support - IAM insuffisants ciblées -Contrat jamais
permanent sous - Logs et - Réduction des exhaustif
réserve de journaux coûts (matériels, - Territorialité
souscription insuffisants humains) - Pertes de
- Pas - Dépendance -Optimisation des compétences
d’investissements totale du réseau ressources internes
(CAPEX) - Coût de la matérielles - Totale
migration - PCA ou PRA dépendance au
fourni par fournisseur
l’hébergeur
- Accès aux
dernières
technologies

Le modèle PaaS a été abandonné car RSS sera exclusivement un fournisseur de

services IaaS/SaaS.

5
II. Analyse de sécurité
II.A Contexte
Le choix de RSS est de se transformer en hébergeur de Cloud public à
destination des professionnels de santé.
La première action consiste à analyser le contexte d’un point de vue sécurité, que ce
soit au niveau SaaS ou IaaS.

6
II.B Surface d’attaque

On commence par lister l'ensemble des vulnérabilités qui peuvent impacter notre
future infrastructure cloud en partant de l'extérieur avec les points d'accès, puis au
niveau des couches SaaS et IaaS, pour finir au niveau des exploitants de la
plateforme Cloud.

Les vulnérabilités peuvent se rencontrer au niveau des applications, du système

d'exploitation, des postes de travail ou de l’infrastructure cloud elle-même.

II.C Les menaces

Après avoir listé l’ensemble des vulnérabilités lié au cloud, on constate qu’il en
découle un certain nombre de menaces.

Au niveau des accès externes, les menaces peuvent être de types:

• Buffer Overflow;
• Injection SQL;
• Déni de service;
• Brute de force sur l'authentification.

En interne, les menaces peuvent provenir:

• Des API et du code non sécurisés;
• Des attaques sur l'hyperviseur;
• Des failles XSS;
• D’un mauvais paramétrage des RBAC (gestion des rôles) et des ACL;
• D'un changement non planifié;
• D'une attaque brute sur l'authentification;
• De la malveillance humaine;
• De l’emploi de codes malveillants (DNS poisoning, XSS, Phishing)

7
II.D Mise en place d’un SMSI
L’implémentation d’un Système de Management de la Sécurité de l’Information
répond à plusieurs objectifs:

• Réaliser une analyse des risques en fonction des différents composants qui
doivent être mis dans le cloud et évaluer les différents risques afin de mettre
en place les solutions de sécurités disponibles sur marchés pour réduire ces
risques au maximum;

• Déployer les différentes solutions de sécurité dans l'infrastructure et évaluer

les composants de sécurités à travers des indicateurs;

• Mettre en place des indicateurs, des audits internes et des contrôles de

conformité afin d'évaluer l'adéquation des règles mises en places avec la PSSI
de l'entreprise;

• Afin d’assurer l’amélioration continue de notre Système d’information, on

mettra en place une équipe dédiée à la gestion des incidents, de la veille sur
les vulnérabilités et de la gestion de la sécurité.

Tout cela dans l'optique d'une amélioration continue de la sécurité:

8
II.E Analyse de risque
De l'analyse de risque va découler un ensemble de solutions à mettre en place
afin d’obtenir un risque résiduel acceptable pour l'infrastructure cloud.

9
II.F Solutions de sécurité cloud
Afin de sécuriser les différentes couches du cloud, un ensemble d’outils va être mis
en place pour réaliser les opérations de prévention, de détection/surveillance et de
protection du cloud:

Outils de sécurité pour la couche Web:

10
II.G Principales mesures de contrôles de sécurité
La mise en place des indicateurs de sécurité permet de mesurer l'efficacité du
SMSI. Ci-dessous la liste des principales mesures de contrôles de sécurité:

11
II.H Les engagements de sécurité
Les engagements de sécurité vis-à-vis des clients sont les suivants:

• Connexion: Une authentification forte (login/password + carte CPS + token ou

bien biométrie)

• Données: Chiffrage SSL des données entre le navigateur du praticien et le

cloud: SSL – Accès sécurisé au web service : RestFul (HTTPS)

• Supervision de la sécurité en temps: Assurer une surveillance en temps réel

de la sécurité en mettant en place des outils de supervision et une revue
mensuelle des tableaux de bord sécurité.

II.I Audit interne

L’audit interne va concerner les composants suivants de la PSSI:

• Politique de Sécurité;
• Organisation;
• Gestion des droits des personnes;
• Ressources humaines;
• Contrôle d’accès;
• Télécommunications;
• Traçabilité;
• Gestion des incidents;
• Test plan de Sauvegarde;
• Continuité de service;
• Gestion des évolutions Conformité.

II.J Gestion des incidents

Dans la phase d’amélioration continue, la gestion des incidents, des

vulnérabilités et des évènements est une obligation du SMSI:

12
II.K Gestion des évènements de sécurité

Vue d’ensemble de la gestion des événements de sécurité et de son rôle dans la surveillance ()

II.L Gestion des vulnérabilités

Procédure de correction de la sécurité.()

Liste des sites open des vulnérabilités :

• (en) OSVDB : Liste open source des vulnérabilités;

• (en)(fr) scip VulDB : Liste open des vulnérabilités;
• (en)(fr) Définition et liste des vulnérabilités sur le site de Microsoft;
• (fr)Pôle ARESU de la DSI du CNRS : Étude sur les failles de sécurité des
applications Web.

13
III. Caractéristiques techniques
III.A Architecture technique

Les professionnels de santé se connectent au Data Center par SSL ou VPN en

fonction du service cloud auquel ils veulent accéder.
Le répartiteur de charge va rediriger le trafic à l’intérieur du Data Center au moyen de
l’algorithme round robin.
S’agissant d’un cloud public, l’architecture est de type multi-tenant. Par conséquent,
chaque couche est isolée :
• la couche applicative sépare les instances d’une même application pour
différents clients;
• les environnements d’exécutions sont isolés avec des machines virtuelles;
• le réseau interne est segmenté en VLANs ;
• le stockage est isolé avec des mécanismes tels que le LUN masking ou SAN
zoning.

L’infrastructure est monitorée 24h/24, 7j/7 avec l’outil de supervision Nagios. Afin
d’éviter les SPOF, les équipements du Data Center sont redondés. Les données sont
répliquées sur un second Data Center (pas sur le schéma) par deux liaisons fibre
noire hébergées chez deux ISP différents.
14
III.B Prérequis
Voici la liste des prérequis au niveau du poste client et des composants de
l'infrastructure cloud:

Poste client :
Config minimum Config recommandée
Processeur Mono Core 1,2 Ghz Dual Core 2,4 Ghz
Mémoire 1 Go 4 Go
OS Windows 7 et supérieur, Linux, client Mac
Java Dernière version stable
Internet ADSL 1 Mb/s SDSL 4 Mb/s
Sécurité Ports TCP ouverts: 80, 443

OS et navigateurs supportés poste client:

Mac OS 10.6 ou
Linux Windows Vista/7 Windows 8
supérieur
Internet Explorer
Internet Explorer 9
10
Internet Explorer Internet Explorer
Safari 7.x
10 11
Internet Explorer
11
Google Chrome Google Chrome Google Chrome Google Chrome
Firefox 4 ou Firefox 4 ou Firefox 4 ou
Firefox 4 ou supérieur
supérieur supérieur supérieur

Serveur cloud :
Scale Unit
Processeur Octo Core 2 Ghz
Mémoire 256 Go
Disque (OS) 2 SAS RAID 1
Stockage local 146 Go
Hyperviseur Hyper-V 3

Réseau :
Nb de NCIs dédiées Rôles des NCIs
10 Gb 3 2 NCIs 10 Gb pour le trafic, 1 NCI 1 Gb pour le management

Connectivité SAN :
Nb de NCIs dédiées
Fibre Channel 2 - 4GB FC HBAs

15
III.C Grille tarifaire

Ci-dessous la grille tarifaire des services cloud que proposera RSS:

Services SaaS Abonnement Prix € HT Prix € TTC

Sauvegarde en ligne
1 Go Tarif mensuel 8,33 9,99
2 Go Tarif mensuel 10,83 12,99
5 Go Tarif mensuel 14,99 17,99
10 Go Tarif mensuel 20,83 24,99
25 Go Tarif mensuel 24,99 29,99
50 Go Tarif mensuel 37,49 44,99
100 Go Tarif mensuel 66,66 79,99
150 Go Tarif mensuel 93,33 111,99
200 Go Tarif mensuel 120,83 144,99
Messagerie santé
1 BAL FSE Tarif mensuel 4,17 5
20 BAL FSE Tarif mensuel 25 30

Assistance/hotline
Abonnement Tarif mensuel 4,18 5,02
Connexion au service A la minute 1,26 1,52
Messagerie vocale Tarif mensuel 5,85 7,02

Espace Prix € Prix €

Services IaaS vCPU RAM disque Abonnement HT TTC
Machines
virtuelles
Small 2 2 Go 25 Go Tarif mensuel 9,99 11,99
Medium 4 4 Go 50 Go Tarif mensuel 15,99 19,19
Large 6 8 Go 100 Go Tarif mensuel 29,99 59,99
Extra Large 8 16 Go 200 Go Tarif mensuel 59,99 71,99

16
IV. Services annexes
IV.A Unité d’œuvre

Le modèle de sous-traitance en Unité d’Œuvre au plus juste de la consommation

réelle et en fonction de la variabilité de l’activité en prestation informatique s’impose
dans la facturation des services en mode Cloud. Il repose sur la définition de
“prestations packagées” à un prix fixé. En mode Iaas, la facturation en Unité d’Œuvre
est fonction du nombre de Serveurs, Machines Virtuelles, CPU, RAM et Stockage.
Nous proposons en option les Services facturés en Unité d’Œuvre selon le périmètre
de votre SI.
Nos domaines d’expertise:
• Migration;
• PRA/PCA;
• Sauvegarde;
• Stockage;
• Archivage;
• Snapshot.

IV.B Migration
Le périmètre du SI éligible à la migration dans le Cloud a été défini dans notre
étude au préalable; nous pouvons vous offrir nos compétences pour effectuer la
migration de votre SI dans le cloud. Afin de mener à bien cette phase de migration, il
est important que les équipes client et fournisseur travaillent en étroite collaboration.
Les phases de la Migration:
• Audit de l’existant du SI
Il est nécessaire de définir les périmètres matériels et logiciels à migrer dans le
Cloud.
- Les serveurs: CPU, RAM, Volumétrie disque
- Les Applications: critiques, importantes, non critiques
- Réseaux: routeurs, switches
- Sauvegarde de l’ensemble du périmètre
• Préparation de l’environnement dans le Datacenter
- Créer le périmètre défini à l’identique du site actuel dans le Cloud du
site Datacenter :
virtualisation des serveurs, serveurs dédiés rackés
- Création des Réseaux: Vlan.
• Transfert des Données dans le Cloud
- Transport des Données dans des containers sécurisés
- Le transporteur doit être accrédité
- Dans le cas de petite volumétrie, le transfert est effectué de façon sécurisée
par le réseau (SSL, cryptage)
- Dans le cas de grosse volumétrie, nous utiliserons les lecteurs LTO-4, LTO-5
et LTO-6 qui font appel au cryptage AES 256 bits garantissant ainsi des
niveaux de sécurité optimaux : Cryptage certifié FIPS avec prise en charge du
protocole KMIP permettant de gérer facilement les clés de cryptage

17
 - Restauration de l’ensemble du périmètre des serveurs et postes de
travail utilisateurs
- Test de la restauration du périmètre
- Recette
• Validation
• Réplication du périmètre sur un autre DataCenter par sécurité de la première
bascule
- Test et Validation des applicatifs dans ce deuxième site
• Bascule et Mise en production

Pour garantir le succès de cette migration, une réorganisation des fonctions du

personnel du SI accompagné de plans de formation est nécessaire. Notre équipe
Support Technique est à votre service dans cette phase de Migration.

Il est à noter que la durée de cette phase de migration est plus ou moins longue
selon le périmètre que l’on souhaite migrer : nombre de serveurs, la volumétrie des
données, la complexité de l’environnement applicatif.
Par précaution, lors de la bascule vers le Cloud, et afin de conserver la possibilité de
la réversibilité, nous conservons l’intégralité du périmètre actuel du SI client en
Offline, le temps de la validation de la nouvelle mise en production.
IV.C PRA/PCA
Pour faire face à l'enjeu de la Haute Disponibilité des Serveurs, Données,
Réseaux, des Applications 24/7 requis par l’agrément ASIP, il est vital de mettre en
place un Plan de Reprise d’Activité (PRA) et/ou un Plan de Continuité d’Activité (PCA)
pour assurer le redémarrage des systèmes.
Le PCA et le PRA ont pour objectif de minimiser les pertes de Données et d'accroître la
réactivité en cas de sinistre majeur pour garantir la continuité de l'activité même en mode
dégradé. Le PCA en cas de sinistre, doit être transparent pour les utilisateurs ainsi
garantir l'intégrité des Données sans perte d'information.

Les ressources identifiées critiques sont l'Infrastructure Réseaux Client-Datacenter, les

Serveurs d’Applications, les Données.

Architecture Cloud PRA/PCA

Les serveurs de secours répliqués sont situés dans un deuxième Datacenter pour
être opérationnels dans le cas où le Datacenter primaire est inaccessible.

18
Trois principaux indicateurs de Disponibilité: Réseaux, Serveurs, Données

Dans le cas d’un sinistre, les trois indicateurs ci-dessous seront repris:
1/ Réseaux
2/ Serveurs
3/ Données
Le redémarrage dans cet ordre est optimal pour la reprise de l’activité des services.

19
 Bascule vers le site distant secondaire

La bascule vers le site de secours en transparence pour les utilisateurs.

20
Le PRA permet un démarrage à froid de l'activité après un sinistre, avec restauration
du système de sauvegarde. Le temps de reprise de l'activité du SI, RTO dépendra du
nombre de serveurs, de la volumétrie des données à restaurer. Le RTO affectera le
RPO: plus longue est la restauration du SI, plus long est le temps de non
enregistrement des Données.
Contrairement au PRA, le PCA permet une reprise à chaud par une redondance de
l'Infrastructure sur 1 ou 2 sites distants avec une solution de Réplication en Temps
Réel des Données: RTO et RPO proches de zéro.

21
V. Aspects Juridiques
V.A L’agrément ASIP
Préambule:
L’hébergeur ci-après nommé représente le fournisseur d’une solution RSS en mode
SaaS, et d’une solution indépendante de sauvegarde de données de santé à
caractère personnel en mode SaaS, et d’une solution IaaS destinée aux
professionnels de santé.
Cette nomenclature correspond à la nomenclature de l’ASIP. Elle est justifiée par le
fait que les données ne sont pas conservées "au sein" de l’établissement de santé, et
qu’elles doivent donc être considérées comme "hébergées", au sens du Code de la
santé publique.

Droit applicable:
Le cadre législatif de l'activité d'hébergement de données de santé à caractère
personnel est fixé par l’article L. 1111-8 du code de la santé publique.
Le cadre réglementaire est fixé par le Décret n° 2006-6 du 4 janvier 2006 relatif à
l’hébergement de données de santé.
Les conditions et le régime définis par le décret figurent aux articles R. 1111-9 à R.
1111-16 nouveaux du Code de la santé publique

Les professionnels de santé ou les établissements de santé peuvent déposer des

données médicales à caractère personnel auprès de tiers. (Article L1111-8 du code
de santé publique)

Deux conditions sont posées à cette possibilité d’hébergement des données de

santé :

• le consentement exprès du patient;

• l’obtention par l’hébergeur d’un agrément administratif.

L’hébergeur est donc agréé par la CNIL - il a la qualité d’un HADS

Il s’agit d’un agrément à l'hébergement des données de santé à caractère personnel,
accordé pour une durée de trois ans, renouvelable par demande après audit externe,
concernant la conformité Sécurité et Technique.

L’hébergeur a complété à cet effet un dossier en s’appuyant sur un référentiel

élaboré par l’ASIP Santé, dans lequel Il a démontré sa capacité à mettre en œuvre
une politique de sécurité et de confidentialité, destinée notamment à assurer le
respect des exigences de confidentialité et de secret, la protection contre les accès
non autorisés ainsi que la pérennité des données, et dont la description a été jointe
au dossier d’agrément .

22
V.B Les engagements de l’hébergeur et du professionnel de santé
L’hébergeur est agréé pour une prestation dite « générique » lui permettant
d’héberger des applications contenant des données de santé à caractère personnel,
qui inclut l’hébergement d’applications de type messageries sécurisées de santé.
L’hébergeur s’engage à formuler une nouvelle demande pour toute modification du
périmètre de ses services agréés.

L’hébergeur s’engage à maintenir ses demandes d’agrément pour la durée des

contrats souscrits, ainsi qu’à mettre en œuvre tous les moyens à sa disposition pour
obtenir son renouvellement.

L’hébergeur s’engage à assurer une veille juridique, devant respecter le cadre

juridique et opérer cas échéant des modifications à son service.

L’hébergeur confirme que les données ne peuvent être utilisées à d’autres fins que
celles définies dans le contrat d’hébergement.

L’hébergeur confirme être soumis au secret professionnel, et respecte l’article

art. L.1110-4.

L’hébergeur atteste s’attacher les services d’un médecin dans son

organisation, lié par contrat.

Principales missions du médecin:

Encadrement des procédures de restitution, de modification et de destructions de

données

Traitement de toute demande émanant d’une personne dont les données sont
hébergées qui vise à obtenir la communication, la rectification ou l’effacement de tout
ou partie de ses données hébergées.

Vérification de la cohérence d’informations éventuellement suite à un incident.

Vérification du respect déontologique en matière de données de santé à caractère
personnel, pour l’ensemble du système.
Dans le cadre du Service, c’est le médecin de l’hébergeur qui est le seul habilité à
pouvoir déchiffrer les données sauvegardées par le Client en cas de nécessité.

Le médecin hébergeur est associé aux processus de gestion des incidents.

L’hébergeur confirme que le patient dispose, conformément au droit commun issu de

la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,
d’un droit d’opposition et de rectification, et de suppression des données.

Au quotidien, l’hébergeur s’appuie sur une dérogation à l’obligation de recueil du

consentement, apportée par l’article 25 de la loi n°2007-117 du 30 janvier 2007, pour
ne plus exiger le consentement du patient, dès lors que l’accès aux données
hébergées est limité au seul professionnel de santé ou établissement qui les a
déposées.

23
Une seconde dérogation permet à un établissement de santé qui décide désormais
de faire héberger ses données par un hébergeur de ne pas solliciter le consentement
de ses patients.

L’hébergeur rappelle que le professionnel de santé est responsable du traitement

des données hébergées.

Le professionnel de santé s’engage à remplir l’ensemble des obligations découlant

de la loi du 6 janvier 1978, et notamment celle d’informer les personnes concernées
de leur droit d’accès, de modification et de suppression des données traitées. Il
conservera à sa charge l’ensemble des déclarations, demandes d’autorisation et
autres procédures et démarches à accomplir auprès de la Commission Nationale de
l'Informatique et des Libertés (CNIL) afférentes aux traitements de données à
caractère personnel qu’il mettra en œuvre.

L’hébergeur reportant sur son client le recueil du consentement exprès de la

personne concernée à l’hébergement de ses données de santé, il porte à son
attention les modalités de recueil du consentement: un formulaire de recueil du
consentement à retirer auprès de la CNIL doit être formalisé.

L’hébergeur rappelle au professionnel de santé qu’il est responsable de son poste de

travail, de son équipement de SI. Celui-ci doit respecter des mesures de sécurité
particulières, afin notamment de répondre aux exigences de confidentialité. La
sécurité du poste de travail est entièrement sous la responsabilité du professionnel
de santé.
L’hébergeur fournit à cet effet une liste de recommandations, communiquées au
professionnel de santé lors de la souscription d’un des services proposés.
Le poste de travail du professionnel de santé doit répondre aux caractéristiques
techniques spécifiées par l’hébergeur.

L’hébergeur rappelle au professionnel de santé qu’il est responsable de sa carte

CPS :

En cas de perte, de vol ou de dysfonctionnement de sa carte CPS, le professionnel

de santé titulaire en informe l'organisme émetteur dans la mesure où il en est
conscient.
Afin d'éviter les utilisations frauduleuses des cartes de professionnel de santé,
l'organisme émetteur établira une liste d'oppositions qui sera mise à la disposition
des utilisateurs.
La mise en opposition de la carte entraînera la révocation automatique des certificats
contenus dans la carte, l’inscription dans la liste des certificats révoqués et la
suppression de ces certificats de l’annuaire CPS.

24
V.C Le contrat
Un contrat doit être conclu entre le déposant et l’hébergeur qui détermine les
droits et obligations de chacun et les modalités d’accès et de transmission des
informations hébergées qui sont subordonnées à l’accord de la personne concernée.

Le contrat conclus entre l’hébergeur et son client (établissements de santé,

médecins, etc.) stipule les points suivants:

Les services proposés:

• Un service de boîte aux lettres de télétransmission de feuilles de soin, de

messagerie médicale, de services intranet, d’hébergement de données
médicales, de sauvegarde de fichiers et de données médicales, s’appuyant
sur des infrastructures opérées par l’hébergeur, via une connexion Internet
haut-débit, en mode SaaS.

• Une solution indépendante de sauvegarde de données de santé à caractère

personnel en mode SaaS

• Une solution IaaS destinée aux professionnels de santé.

L’abonnement au service:

• Sur la base d’un engagement mensuel, tout forfait mensuel engagé étant dû.

La première prestation de service souscrite devient effective après retour du

contrat accepté et signé auprès du fournisseur.
Toute demande de provisionnement (ou de dé provisionnement) supplémentaire
par le professionnel de santé déjà engagé sur un service s’appuie sur ce
contrat et ne nécessite qu’une simple demande par courriel.

Le désabonnement définitif au service se fait par dénonciation du contrat

auprès de l’hébergeur.

Les caractéristiques principales :

• Les dispositions pour assurer la sécurité des données et la garantie des

secrets protégés par la loi sont conformes à celles de l’agrément ASIP -
Agence nationale des systèmes d’information partagés de santé - avec une
politique de confidentialité et de sécurité correspondant aux exigences de la
CNIL.

• Le chiffrement des données : Le cryptage des données est réalisé avec le

protocole SSL.

• La localisation des infrastructures dans lesquelles est réalisé l’hébergement :

Situées en France métropolitaine.

• Les modalités selon lesquelles les données hébergées sont mises à la

disposition du professionnel de santé ou de l’établissement de santé sont

25
 incluses dans la description de chacun des services et dans ce document, leur
restitution en cas de rupture de contrat de service étant décrite ci-après.

• Le recueil de l’accord des personnes concernées par ces données s’agissant

tant de leur hébergement que de leurs modalités d’accès et de transmission
est opéré par le professionnel de santé.

L’hébergeur confirme que le patient dispose, conformément au droit commun

issu de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et
aux libertés, d’un droit d’opposition et de rectification, et de suppression des
données.

Les applications opérées dans les services de l’hébergeur ne prévoyant pas

d’accès direct du patient à l’application, les requêtes du patient doivent alors
être adressées au professionnel de santé.

• La mention des indicateurs de qualité et de performance permettant la

vérification du niveau de service annoncé, ainsi que de la périodicité de leur
mesure (SLA)

L’accès au service :

• Est subordonné à la souscription par le professionnel de santé d’un service

internet haut débit auprès d’un ISP, et à la compatibilité technique de
l’équipement informatique du professionnel de santé, répondant aux
caractéristiques spécifiées par l’hébergeur.

L’accès au service s'effectue à distance, via le réseau Internet, il est soumis

aux aléas techniques inhérents à l’Internet, et aux interruptions d’accès qui
peuvent en résulter. De ce fait, l’hébergeur ne peut pas être tenu responsable
des difficultés d’accès ou impossibilité momentanée d’accès au service, dues
à des perturbations des réseaux de télécommunication.

• L’hébergeur propose au professionnel de santé, moyennant finances, l’accès

à une connexion réseau dédiée vers ses emplacements de connexion, en
alternative à l’utilisation d’internet. Le raccordement à ses emplacements reste
à la charge et sous la responsabilité du professionnel de santé.

L’hébergeur fournit à cet effet une liste de fournisseurs d’accès réseau non
exhaustive, à titre indicatif.

• Le dispositif supplémentaire de token ou de biométrie est fourni par

l’hébergeur après retour du contrat d’abonnement, par envoi à sa charge au
professionnel de santé.

Il doit être restitué à la fin du contrat sous huit jours ouvrés ou sera facturé
200 € HT

Ce dispositif est sous la responsabilité du professionnel de santé, et celui-ci

doit informer l’hébergeur en cas de perte ou de vol. Son remplacement

26
 entraînera une facturation supplémentaire, et ne dispensera en aucun cas le
professionnel de santé de le restituer en fin de contrat.

Les évolutions technologiques :

• Les obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt

des données de santé à caractère personnel en cas de modifications ou
d’évolutions techniques introduites par lui :

L’hébergeur assure une veille technologique pour garantir le respect de l’état

de l’art.

L’hébergeur se réserve le droit de faire évoluer son infrastructure

informatique, sans altérer le service tel qu'il existe au moment de la
souscription, afin de garantir la qualité, la performance et la sécurité des
services délivrés. Il mettra tout en œuvre pour que ces évolutions aient le
minimum d’impacts pour le client, notamment en matière de disponibilité du
service d’intégrité des données sauvegardées.

L’hébergeur met en œuvre des moyens garantissant la pérennité des données

en cas d’évolution des systèmes

De plus, l’hébergeur a défini une procédure d’alerte vers la personne à

l’origine du dépôt des données de santé en cas d’évolution des systèmes.

La sous-traitance :

• Une information sur les conditions de recours à d’éventuels prestataires

techniques externes et les engagements de l’hébergeur pour que ce recours
assure un niveau équivalent de garantie au regard des obligations pesant sur
l’activité d’hébergement ;

Les sous-traitants qui ne participent pas directement à l’activité d’hébergement

et ne contribuent pas à la sécurité informatique ou physique des données ne
seront pas déclarés.

A ce jour, aucun sous-traitant n’intervient dans les services proposés.

Plans de reprises :

• Une information sur les garanties permettant de couvrir toute défaillance

éventuelle de l’hébergeur : PRA détaillé dans les SLA.

Les audits internes :

• L’hébergeur s’engage à réaliser un audit interne d’auto-évaluation tous les

ans. Le résultat de cet audit pourra être communiqué sur demande motivée du
professionnel de santé.

27
 La gestion des incidents :

• L’hébergeur utilise la méthodologie EBIOS (qui est conforme à la norme ISO

27005) pour la gestion des risques, comme recommandé par le référentiel
général de sécurité (v1.0) qui constitue une référence utile pour les opérateurs
privés.

• L’hébergeur s’engage à signaler les incidents graves au professionnel de

santé.
Les incidents concernant l’altération des données ou la divulgation non
autorisée des données personnelles de santé sont signalés au professionnel
de santé, à l’autorité de contrôle (CNIL), voire au patient.

La gestion des incidents est conforme à l’agrément de l’ASIP.

Conditions de restitution des données :

• L’hébergeur s’engage sur les prestations suivantes à la fin de l’hébergement :

Lorsqu’il est mis fin au contrat, l’hébergeur restitue les données qui lui ont été
confiées, sans en garder copie, au professionnel, à l’établissement ou à la
personne concernée ayant contracté avec lui.

L’hébergeur confirme que les données peuvent être restituées à tout moment,
sur demande du professionnel de santé, dans un format standard et ouvert,
gage de leur intégration future dans d’autres applications.

Le professionnel est informé par courriel de la mise à disposition des données

et de ses conditions de récupération, et il est responsable de leur
récupération.
Délais : Sous 48 heures, après réception effective de la dénonciation du
contrat, pour une durée de 10 jours.
Format : format natif du dépôt, crypté.
Interface : Fichiers mis à disposition via un site FTP sécurisé (FTPS avec
cryptage SSL/TLS)
Lorsqu’il est mis fin au contrat, l’hébergeur efface les données après
restitution.
L’effacement des données - données client et données client dérivées - en fin
de contrat sera complet et sécurisé : les données seront réellement effacées
et il ne subsistera pas de copies stockées.
La destruction physique sera utilisée.
Les données concernées sont les données en ligne (on-line) ou hors ligne
(offline), et les données sauvegardées (souvent en plusieurs versions) ou
archivées (parfois en plusieurs versions).

28
Cas de conservation des données :
L’hébergeur assure un archivage prolongé si le professionnel de santé
souscrit cette option payante

L’hébergeur rappelle que la responsabilité de la conservation de ces données

incombe alors au professionnel de santé, et précise les points suivants :

Dossier médical dans les cabinets médicaux libéraux : 10 ans

Dossier médical dans les établissements de santé publics et privés : 20 ans à
partir du dernier passage dans l’établissement par le patient, excepté en cas
de décès du patient moins de 10 ans après son dernier passage son dossier
sera conservé 10 ans à partir de la date de son décès.
Analyse des pratiques ou des activités de soins ou de prévention : durée de
conservation très courte, ne dépassant pas 2 ans dans la plupart des cas.
Durée proportionnelle à la finalité déclarée, conservée le temps de l’étude et
supprimée dès que l’étude est terminée.
L’hébergeur n’assure pas de prestation d’archivage à valeur probante
(archives publiques contenant des données de santé).

VI. Contrat de service SLA : Qualité de service et niveau

d’engagement
VI.A Engagements

• Disponibilité des services à 99.99%

• Gestion des incidents:

Incidents bloquants: sous deux heures.
Incidents critiques: sous quatre heures
Incidents normaux: sous vingt-quatre heures

• Support:
Horaires du centre de support: 24h/24H 7j/7j
Engagements sur les temps de réponse : appel traité sous deux heures
Communication par ligne téléphonique ou courriels.

• PRA / PCA

PRA: Lorsqu’un sinistre est déclenché, reprise à froid, RSS garantit la reprise
d’activité du périmètre souscrit en conformité au contrat sous 4 heures.
-RTO: sous 4 heures.
-RPO: Pas de perte de données.

PCA: Reprise à chaud de l’activité du SI par la bascule automatique après la

détection d’une quelconque défaillance.
-RTO: <= 1 heure.
-RPO: Pas de perte de données.

29
VI.B Indicateurs
• Service IaaS: La supervision et le monitoring des machines virtuelles et
de l’infrastructure sont mis à disposition du client.

o Charge CPU et RAM, HDD I/O, trafic réseau.

o Historique d’utilisation des équipements.

o Cet outil est conçu par l’hébergeur sur une base Open Monitoring
Distribution (basé sur Nagios et intégrant des outils supplémentaires).

• Services SaaS : monitoring de la performance des applications (marque

blanche de la solution de supervision Viadéis).

o “Météo”, rapport sur la disponibilité, consommation.

• Service SaaS de stockage : traçabilité et historique des accès sur le site web
de l’hébergeur.

VI.C Suivis

• Audit de sécurité :

Le fournisseur s’engage à être contrôlé en auto-évaluation sous forme d’audit

tous les ans.
Le résultat de cet audit pourra être communiqué sur demande au
professionnel de santé.
• Fournitures de logs :

A la demande du professionnel de santé, sous forme de courriel, concernant

un accident précis ou une période de temps :
Début d’incident - Procédure utilisée par le fournisseur pour la résolution de
l’incident - fin de l’incident. Confirmation de résolution.
Un bulletin mensuel est à la disposition des professionnels de santé en en
faisant la demande spécifique, par courriel.
Il comporte un historique des incidents sur la période, le nombre et la
description des incidents résolus, le nombre et la description des incidents
restant à traiter.

30
VI.D Pénalités

• Mode IaaS :

En cas de défaillance du serveur instancié, sur une période excédant 15

mn, remboursement de l’abonnement du serveur host sur la prochaine
facture, sur la base du prix mensuel.
Pour bénéficier des pénalités en cas de non-respect des SLA, il est
indispensable d’avoir au moins deux serveurs hosts dans le Cloud proposé,
et d’avoir ouvert un ticket incident.
En cas de défaillance de l’accès au stockage, remboursement de 15% du prix
du stockage par tranche de 10 minutes d’indisponibilité, sur la base du prix
mensuel, dans la limite de 100% de l’abonnement souscrit.
En cas de défaillance de la connectivité à internet de l’infrastructure de
l’hébergeur, excepté en cas de maintenance planifiée pour laquelle les clients
seront avertis, remboursement de 5% du montant total de la prochaine facture
mensuelle, par heure d’indisponibilité dans la limite de 100% du montant total
de la facture.

• Mode SaaS :

En cas d’indisponibilité du service, remboursement de 15% du montant de

l’abonnement mensuel par tranche de 10 minutes d’indisponibilité, dans la
limite de 100% de l’abonnement souscrit.

Les engagements mentionnés ne s’appliquent pas dans les cas suivants :

Problème de trafic internet, hors connectivité de l’infrastructure de l’hébergeur :
ralentissement, congestion et indisponibilité.
Dysfonctionnements dus aux comportements des postes clients, notamment lors
d’attaques de sécurité.
Actions inappropriées ou inactions des clients.
Cas de force majeure.

31
Conclusion
La solution de cloud computing SaaS proposée pour le RSS, le service SaaS de
sauvegarde de données de santé, et le service IaaS, comporte un risque résiduel
acceptable et permet une amélioration continue de la sécurité sur le plan
opérationnel, fonctionnel et organisationnel.
Elle offre aux professionnels de santé l’élasticité des services et ressources, ainsi
que le monitoring associé.

Les professionnels de santé sont responsables des données de santé mais peuvent
confier ces données et la gestion de leur sécurité à une structure qualifiée et
spécialisée, avec les bénéfices de la surveillance continue, de la gestion des
incidents et des vulnérabilités en temps réel, de la réactivité immédiate.

Le fournisseur de la solution implémente le cercle vertueux du Système de

Management de la Sécurité de l'Information, alimenté par la mutualisation des
services propre au cloud computing, et offre une sécurité meilleure que celle que le
professionnel de santé peut mettre en œuvre par ses propres moyens.

32
 Glossaire
ASIP Agence nationale des Systèmes d’Information Partagés de santé,
L’ASIP Santé est un groupement d’intérêt public en charge du
développement des systèmes d’information partagés dans les
domaines de la santé et du secteur médico-social

BAL Boite Aux Lettres

CNIL Commission Nationale de l'Informatique et des Libertés

Autorité administrative indépendante française chargée de veiller à ce
que l’informatique soit au service du citoyen et qu’elle ne porte atteinte
ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni
aux libertés individuelles ou publique

Fibre Protocole défini par la norme ANSI X3T11 permettant une connexion
Channel de l’ordre du gigabit par secondes entre un ordinateur et son système
de stockage ou d'autre type de périphérique

FSE Feuille de Soin Electronique

HADS Hébergeur Agréé de Données de Santé

HBA Host Bus Adapter (contrôleur hôte de bus) est une carte d'extension
utilisée pour connecter un hôte à un système de stockage

IaaS Infrastructure as a Service

Cette offre concerne la mise à disposition de ressources informatiques
(puissance CPU, mémoire, stockage etc.). Le modèle IaaS permet au
client de disposer de ressources externalisées virtualisées. Celui-ci
garde le contrôle sur le système d’exploitation (OS), le stockage, les
applications déployées ainsi que sur certains composants réseau
(pare-feu, par exemple).

ISP Internet Service Provider – Fournisseur de services internet

LUN Action de présenter ou non un LUN (Logical Unit Number ou identifiant

masking d’un espace de stockage dans un SAN) à un serveur.

NIC Network Interface Card - Carte réseau standard

PCA/BCP Plan de Continuité d’Activité/Business Continuity Plan assure l’activité

sans interruption du service et la disponibilité des informations quels
que soient les problèmes rencontrés

PRA/DRP Plan de Reprise d’Activité/Disaster Recovery Plan décrit l’ensemble de

procédures qui doivent être déclenchées à la suite d’un incident majeur
ayant entraîné une interruption de l’activité, pour la reconstruction de
l’infrastructure et le redémarrage des applications du SI

33
RAID Redundant Array of Independent Disks désigne les techniques
permettant de répartir des données sur plusieurs disques durs afin
d'améliorer soit les performances, soit la sécurité ou la tolérance aux
pannes de l'ensemble du ou des systèmes.

RPO Recovery Point Objectif désigne la durée maximale qu’il est acceptable
de perdre les Données

RTO Recovery Time Objectif est la durée maximale d’interruption acceptable

en cas de sinistre

SaaS Software as a Service: cette offre concerne la mise à disposition

d’applications d’entreprise. Le prestataire offre une fonction
opérationnelle et gère de façon transparente pour l’utilisateur
l’ensemble des aspects techniques requérant des compétences
informatiques. Le client garde la possibilité d’effectuer quelques
paramétrages de l’application

SAN Le SAN zoning permet de créer un lien logique entre un serveur et une
Zoning ressource au sein d’un SAN (Storage Area Network). L'utilisation du
zoning permet de garantir de bonnes performances en évitant les
risques de collisions de frames.

SLA Service Level Agreement - Accord / garantie du niveau de service

SPOF Single Point of Failure - Point unique de défaillance

SSL Secure Sockets Layer: protocole de sécurisation des échanges sur

Internet.

Token Solution d’authentification forte pour prouver une identité par voie
électronique. Solution avec mot de passe statique, mot de passe
dynamique synchronisé, mot de passe asynchrone, challenge/réponse
(ou demande d'accès/Réponse)
A titre d’exemple, ils peuvent se matérialiser sous la forme d’une
calculette permettant d'entrer un code PIN, ou sous forme de clé USB.

vCPU Virtual Central Processing Unit: cœur d’un CPU physique dédié à une
machine virtuelle

VLAN Virtual Local Area Network: technologie permettant la séparation d’un

réseau physique et plusieurs réseaux logiques

VPN Virtual Private Network: connexion réseau privée et sécurisée à travers

Internet.

34