Scribd Logo
Importer

Bienvenue sur Scribd !

  • 8-Les Normes Et Referenciel Du Secteur

    Transféré par

    emile lovi
    9 vues5 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    9 vues5 pages

    8-Les Normes Et Referenciel Du Secteur

    Transféré par

    emile lovi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

    kokou Agbedanou

    Les normes et référentiels du secteur


    Comme tout secteur qui se respecte, le cloud computing n’échappe pas aux normes et décrets.

    1. Agrément spécifique HDS

    En France, l’hébergement de données de santé (HDS) à caractère personnel est encadré par de
    nombreuses dispositions obligatoires et législatives.

    a. Origine

    L’origine de la réglementation se trouve dans le contexte de la loi du 13 août 2004 concernant le DMP
    (dossier médical personnalisé, consistant en un carnet de santé électronique) pour favoriser la
    coordination, la qualité et la continuité des soins, optimiser les dépenses de santé : la consultation du
    DMP permet par exemple d’éviter de renouveler un examen déjà pratiqué. Il est alors stipulé que le DMP
    sera créé auprès d’un hébergeur pour permettre aux professionnels de santé autorisés d’y accéder
    facilement, sur le plan matériel.

    Ainsi était-il nécessaire que la loi précise les conditions et les garanties de cet hébergement, non pas pour
    le seul DMP mais plus généralement pour toutes les données de santé à caractère personnel.

    b. Cadre législatif

    Le cadre législatif de l’activité d’hébergement de données de santé à caractère personnel est fixé par
    l’article L. 1111-8 du code de la santé publique (loi n° 2002-303 du 4 mars 2002 relative aux droits des
    patients).

    Ces dispositions ont pour objectif d’organiser et d’encadrer le dépôt, la conservation et la restitution des
    données de santé à caractère personnel, dans des conditions propres à garantir leur confidentialité et leur
    sécurité.

    Le décret n°2006-6 du 4 janvier 2006 définit les conditions d’agrément des hébergeurs de

    © Editions ENI - Tous droits réservés - Copie personnelle de kokou Agbedanou -1-
    kokou Agbedanou

    données de santé à caractère personnel sur support informatique.

    c. Processus

    Une demande d’agrément suit un processus long de huit mois : deux mois à la CNIL (Commission
    nationale de l’informatique et des libertés), quatre mois à l’ASIP (Agence de sécurité des informations
    partagées) et deux mois au ministère de la Santé.

    Un hébergeur doit être en mesure d’assurer la disponibilité, la confidentialité, l’intégrité et l’auditabilité sur
    les données de santé.

    La liste des hébergeurs de données de santé à caractère personnel est disponible sur le site de l’ASIP
    Santé avec 84 décisions d’agréments délivrées au 22 juin 2015 : http://esante.gouv.fr/services/referentiels
    /securite/hebergeurs-agrees

    d. HDS en mode cloud

    Un agrément HDS permet d’héberger des applications traitant des données de santé. Il est tout à fait
    possible d’envisager l’implémentation technique sous forme de cloud sécurisé (paiement à l’usage,
    catalogue de services, élasticité...).

    2. Normes ISO

    Dans le secteur du cloud computing, deux normes ISO ont vu le jour, fruit de quatre ans de travail.

    a. ISO/IEC 17788:2014

    La norme ISO/IEC 17788 (Information technology - Cloud computing - Overview and vocabulary) définit les
    concepts du cloud, les types d’acteurs, les types de services (IaaS, PaaS ou SaaS) et les modèles de cloud
    (privé, public ou hybride). Elle propose un cadre technologique pour que toutes les parties prenantes
    puissent s’entendre.

    b. ISO/IEC 17789:2014

    © Editions ENI - Tous droits réservés - Copie personnelle de kokou Agbedanou -2-
    kokou Agbedanou

    La norme ISO/IEC 17789 (Information technology - Cloud computing - Reference architecture) donne les
    définitions de l’architecture fonctionnelle de référence pour la construction de plate-forme de cloud
    computing.

    c. ISO/IEC 27018:2014

    La norme ISO/IEC 27018 (Information technology - Security techniques - Code of practice for protection of
    personally identifiable information (PII) in public clouds acting as PII processors) fixe les règles de
    sécurité et s’adresse aux fournisseurs de cloud public. C’est un complément de la norme ISO IEC 27001
    (Management de la sécurité de l’information).

    L’achat de la norme est possible sur le site de l’AFNOR (environ 50 euros) : http://www.boutique.afnor.org
    /normes

    Ces normes sont également issues d’une collaboration avec l’ITU (International Telecommunications
    Union) qui fournit la norme ISO sous la forme de recommandations ITU-T :

    ˇ
    ITU-T Y.3500 Cloud computing - Vue d’ensemble et vocabulaire

    Cette recommandation est disponible gratuitement sur le site de l’ITU (http://www.itu.int/rec/T-


    REC-Y.3500-201408-I/en).

    ˇ
    ITU-T Y.3502 Cloud computing - Architecture de référence

    Cette recommandation est disponible gratuitement sur le site de l’ITU (http://www.itu.int/rec/T-


    REC-Y.3502-201408-I/en).

    d. Autres recommandations ITU

    L’ITU fournit d’autres recommandations concernant le cloud computing, accessibles sur le site de l’ITU
    (http://www.itu.int/rec/T-REC-Y/en) :

    © Editions ENI - Tous droits réservés - Copie personnelle de kokou Agbedanou -3-
    kokou Agbedanou

    Y.3500 Information technology -Cloud computing -Overview and vocabulary

    Y.3501 Cloud computing framework and high-level requirements

    Y.3502 Information technology -Cloud computing -Reference architecture

    Y.3503 Requirements for desktop as a service

    Y.3510 Cloud computing infrastructure requirements

    Y.3511 Framework of inter-cloud computing

    Y.3512 Cloud computing -Functional requirements of Network as a Service

    Y.3513 Cloud computing -Functional requirements of Infrastructure as a Service

    Y.3520 Cloud computing framework for end to end resource management

    3. Référentiel de sécurité ANSSI "Secure Cloud"

    L’ANSSI (Agence nationale de sécurité des systèmes d’information) a publié la version 2.0 du référentiel en
    mars 2015. Ce référentiel porte sur la qualification de prestataires sécurisés de cloud computing ; c’est un
    référentiel d’exigences (source : http://www.eurocloud.fr/doc/anssi-referentiel.pdf).

    Enfin, un label européen "Secure Cloud" doit être mis en œuvre prochainement sans qu’aucune date ne soit
    annoncée à la date de rédaction de cet ouvrage.

    4. Label Cloud Confidence

    © Editions ENI - Tous droits réservés - Copie personnelle de kokou Agbedanou -4-
    kokou Agbedanou

    L’association Cloud Confidence (http://www.cloudconfidence.eu), créée en décembre 2014, a pour objectif,


    entre autres, de publier un cadre de certification reposant sur le cadre légal européen. Ce label est à
    destination des prestations de cloud et des utilisateurs.

    © Editions ENI - Tous droits réservés - Copie personnelle de kokou Agbedanou -5-

    Vous aimerez peut-être aussi