INTERVIEW
Le 14 novembre 2020, Agora Calycé a obtenu les certifications ISO 27 001 et HDS. Ces certifications sont le résultat de 2 années d’un travail exigeant et ambitieux. Rencontre avec les deux orchestrateurs de cette belle réussite : Lionel FRITZ, Responsable Infrastructure, et Michel BORDES, RSSI chez Agora Calycé.
ISO 27 001 : un cadre réglementaire reconnu en France et à l’international
A l’heure où la sécurité des données représente un enjeu plus critique que jamais, l’ISO 27 001 représente l’ensemble des règles et bonnes pratiques qu’appliquent les équipes d’Agora Calycé pour garantir une gestion sécurisée des données que nous confient nos clients. Il s’agit de la référence en matière de certifications auditables à l’échelle internationale, qui définisse les exigences d’un système de management de la sécurité de l’information (SMSI).
Il est important de préciser, à ce stade, ce que nous entendons par « sécurité de l’information ». C’est pourquoi il s’agit de garantir non seulement la confidentialité des données, mais également leur disponibilité, leur intégrité, ainsi que leur auditabilité. Il faut rappeler que le risque zéro n’existe pas ; toutefois, une bonne connaissance des risques permet de s’y préparer, et donc, de diminuer leur impact.
La certification HDS, quant à elle, est une norme française spécifiquement dédiée à l’hébergement de données de santé. Elle a pour prérequis d’être certifiée ISO 27 001, et intègre principalement des aspects réglementaires (qu’Agora Calycé applique de façon contractuelle) et de la gouvernance spécifiquement liée aux données de santé.
« Cette double certification représente un véritable atout pour l’ensemble des clients et partenaires d’Agora Calycé »
Lionel FRITZ
Pour tous nos clients ayant de fortes attentes sur les questions de sécurité, cette double certification HDS et ISO 27001 représente une garantie supplémentaire. Elle est un gage de sérieux pour nos clients et partenaires ESN, et leur permet de se différencier en proposant eux-mêmes l’hébergement des données de leurs clients certifiés HDS et ISO 27001.
De notre service RH (mise en place et application d’une charte informatique) à la Direction (arbitrage sur les questions de gouvernance) aux équipes de l’infra (expertises techniques mises au service de l’élaboration des processus de sécurité nécessaires à la protection de nos infrastructures et des données de nos clients), les normes HDS et ISO 27001 supposent d’encadrer de façon encore plus rigoureuse l’ensemble des process internes, notamment en termes de contrôle et de traçabilité des opérations.
« Il s’agit d’un projet incarné par toutes les équipes »
Michel BORDES
Ce que nous retenons de cette démarche longue et complexe, c’est réellement l’engagement et l’implication de l’ensemble des équipes pour aller au bout du projet. Ça n’a pas été simple, mais chacun a su mettre son expertise et son professionnalisme au service du projet. La confiance a également joué un rôle central, car pouvoir compter sur la capacité de chacun à remplir son rôle, c’est gagner une énergie et un temps précieux. Tout ceci nous a vraiment permis de coordonner efficacement l’ensemble de nos actions, jusqu’à l’obtention de la double certification.
Nous avons donc avancé ensemble et par itérations, pour nous familiariser progressivement avec la norme, ses exigences, et ce qu’elle pouvait nous apporter, notamment en termes de méthodologie de gestion de projets. Il est d’ailleurs particulièrement gratifiant de constater à quel point nous sommes parvenus à fédérer les équipes autour d’un tel projet, et de voir comment chacun s’est approprié, au quotidien, les principes de ces deux certifications.
Une démarche d’amélioration continue
Formalisation et mise en place de process, gestion documentaire, visites des sites, interviews, contrôles, audits documentaires…. Nous avons été accompagnés, dans un premier temps, par un prestataire externe, afin de mieux appréhender la complexité d’une démarche qui s’est déroulée, pour Agora Calycé, sur près de deux ans. Mais une telle démarche, il faut la porter soi-même, de bout en bout : la sécurité de l’information dépend de chacun d’entre nous.
Dans un premier temps, nous avons choisi de réaliser un état des leiux, en amont de l’audit en bonne et due forme. Il s’agissait de mesurer et de combler les écarts par rapport aux exigences de la norme. Ce fut une démarche par itération au cours de laquelle nous avons énormément appris. Et notamment sur la nécessité de s’approprier, dès le commencement, l’ensemble des éléments (documentaires, pratiques) relatifs à la certification. En effet, la norme ISO 27 001 se démarque par son pragmatisme, et par son caractère très opérationnel.
Pour cette raison, principalement, mobiliser et remobiliser les équipes en continu et sur la durée, a représenté un véritable défi, car toute cette démarche s’est déroulée en parallèle de l’activité quotidienne de chaque service, et a nécessité de chacun un réel investissement humain. Lorsque nous avons initié la démarche, la norme HDS sous sa forme actuelle était très récente et nous n’avions aucun autre cas d’usage ou retour d’expérience sur lequel nous appuyer.
C’est un processus d’amélioration continue. Nous restons extrêmement vigilants quant à la gestion de nos infrastructures. La norme veille d’ailleurs au maintien de la qualité via un audit réalisé tous les douze mois, et suite auquel la certification et de nouveau accordée ou retirée.
Vers une meilleure compréhension des enjeux de sécurité
On ne le dira jamais assez : la sécurité des données ne dépend pas que de l’hébergeur, mais aussi du client lui-même. Encore faut-il qu’il dispose du bon niveau d’information, pour faire les bons choix. Et notre expertise répond à ces enjeux ! Nous souhaitons créer, autant que possible, des occasions de partager avec nos clients, partenaires, et tout notre écosystème, les multiples enjeux que recouvre la question de la sécurité des données.
Nous sommes toujours prêts à partager plus précisément notre expérience sur ce sujet, et présenter notre nouvelle offre certifiée ISO 27 001 et HDS. N’hésitez pas à nous contacter pour en savoir plus !
*Hébergeur de Données de Santé