Audit, build, infogérance HDS et ISO27001

Vous lancez un projet tech lié à des données de santé ou sensibles ? Theodo Cloud est certifié Hébergeur de Données de Santé (HDS) et vous accompagne dans la construction et l'infogérance de votre infrastructure cloud.

Protéger mes données sensibles
Sante-V01-HD

Theodo Cloud est certifié HDS et ISO27001

Niveaux 3, 4, 5, 6

Theodo Cloud est agréé HDS depuis 2022 par BSI Group. Voici le libellé exact de notre certification : “Conception, sécurisation et infogérance d’infrastructure Cloud hébergeant des données personnelles de santé avec couverture de l’activité ANS numéro 3, 4, 5, 6 du système de référence HDS version 1.1 (2018) conformément à la déclaration d’applicabilité DDA 08/02/22”. 

Nous construisons et administrons votre infrastructure cloud pour héberger en toute sécurité vos données exposées en conformité avec HDS, que ces dernières soient liées à la santé ou tout simplement sensibles. Nous appliquons donc les normes les plus exigeantes en matière de sécurisation de données.

Certification HDS

Certification ISO27001

Nos offres HDS et ISO27001

Nos 3 offres sont conçues pour répondre sur-mesure à vos exigences de conformité HDS et ISO27001. Nos équipes s’adaptent au contexte, enjeux et contraintes de votre entreprise.

Demandez votre devis
Expertise

Build HDS & ISO27001

Hébergez des données sensibles en toute confiance selon les normes HDS : 

  • Implémentation des recommandations post-audit
  • Construction d’infrastructure conforme HDS & ISO27001
  • Mise à niveau des standards de qualité et conformité
Infogérance

Infogérance HDS & ISO27001

Externalisez la gestion de votre infrastructure pour maintenir une sécurité optimale de vos données les plus sensibles :

  • Maintien en conformité de votre infrastructure
  • Monitoring et intervention 24/7 en cas d’incident
  • Engagement de disponibilité de votre infrastructure à 99,9%
Audit HDS

Audit HDS et ISO27001

Évaluez la sécurité de vos données conformément aux exigences des normes : 

  • Audit de conformité selon le framework YAMAS
  • Évaluation des risques et du niveau de sécurité
  • Recommandations actionnables et priorisées

Notre framework de conformité

YAMAS, notre framework de conformité

YAMAS, notre framework d'évaluation de sécurité a été conçu par nos ingénieurs pour évaluer la conformité aux normes ISO27001 et HDS via 60 critères. Il sert de référence pour nos audits, et est utilisé dans les projets de build et d'infogérance.
framework yamas
Nos technologies

Pour optimiser vos ressources

Nos partenaires

Google Cloud, Amazon AWS, Azure, OVHcloud, Scaleway, et Kubernetes nous font confiance pour implémenter leurs technologies en conformité HDS et ISO27001 chez nos clients.

AWS
GCP
Microsoft Azure
OVHcloud
kubernetes
Scaleway
Notre méthodologie

Chaque intervention se déroule selon le processus suivant

projet-padok
  1. Qualification de la sensibilité

    Nous évaluons la nécessité de conformité aux normes HDS et ISO27001, adaptant nos recommandations à votre contexte spécifique, que ce soit pour des données de santé ou d'autres sensibles.

  2. Contractualisation

    Une fois la nécessité de conformité établie, nous signons ensemble le contrat et l'annexe HDS, définissant clairement les responsabilités à l'aide d'une matrice RACI.

  3. Challenge technique

    Nos experts en cybersécurité réalisent une analyse de risque, proposent un plan d'action intégré à la roadmap, et définissent les succès à atteindre en capitalisant sur vos acquis.

  4. Projet

    Nos experts DevOps suivent la roadmap, supervisés par notre expert SecOps pour garantir l'application correcte des spécifications fonctionnelles de sécurité. Un audit final par notre membre du SMSI assure qualité et conformité.

  5. Infogérance HDS

    La phase d'infogérance commence pour maintenir en permanence la conformité HDS et ISO27001.

  6. Réversibilité

    Si vous n’avez pas choisi de faire infogérer votre infrastructure, nous planifions minutieusement le retrait des accès, assurant une sortie en conformité avec les normes.

Les livrables

Voilà certains livrables que notre équipe envoie à nos clients selon les offres de conformité HDS et ISO27001 choisis.

template-1

Schéma d’architecture cible

Vous sera fourni en début de projet un schéma d’architecture cible. Il nous permet de vous présenter ce que nous comptons mettre en place et de nous assurer que nous répondons bien à tous vos enjeux et contraintes. 

Rose

Score qualité ROSE

Nos experts DevSecOps utilisent notre framework ROSE pour évaluer le score qualité de votre infrastructure. Cela permet, à chaque sprint, de prioriser les chantiers techniques pour assurer une infrastructure Résiliente, Opérable et Sécurisée. Ainsi, la conformité HDS n'entrave pas le travail des développeurs et des ops.

analyse-de-risque

Analyse de risque

Nos experts DevSecOps listent tous les scénarios de risques, leur donnent une note de criticité et y attachent un plan d’action avec un résultat attendu. Fourni au début du projet, ce rapport sert de support tout au long de son déroulement.

yamas

Rapport de conformité YAMAS

Pendant le projet, vous avez un accès continu à votre score de conformité YAMAS, offrant une transparence sur les critères HDS et ISO27001. Cela facilite l'identification de la conformité de votre infrastructure par rapport à ces normes.

Notre Promesse

Pour assurer votre conformité HDS

Votre réussite est notre priorité. C’est pourquoi il est important pour nous de vous apporter notre expertise sur ces sujets complexes. Mais notre accompagnement va bien plus loin que cela :

  • monitoring informatique

    Une transparence totale sur les exigences de la norme

  • expertise

    Une expertise Cloud et Cybersécurité de haut niveau pour délivrer rapidement une infrastructure de qualité

  • accompagnement

    Une mise en conformité qui ne ralentit pas vos développeurs

  • recommandations

    Des mises en production aussi rapides que dans n’importe quel secteur

  • logo-biogen
    Cas client

    Audit HDS, build et infogérance

    Biogen a lancé une nouvelle application visant à améliorer le suivi médical de pathologies spécifiques. Ils sont contraints de respecter les normes HDS, avec un enjeu d’accessibilité de la data issue de leurs utilisateurs afin qu’elle soit facilement exploitable pour garantir l’apprentissage. L’architecture doit être fortement découplée pour réduire les contrôles à chaque mise en production.

    Télécharger le cas complet
    • Points Clés

      Points clés

      • Infrastructure load testée découpée en briques Terraform SAMD et non-SAMD 
      • Granularité fine de l’IAM pour gérer l’accès à des données patient sensibles notamment via un environnement Data Scientist
      • Réduction de l’exposition via un environnement de Tooling (monitoring , CI/CD, security analysis) 
      • Mise en place du système de monitoring et de l’infogérance 24/7
    • Résultat

      Résultats

      • Uptime de 99,99 % sur les 6 derniers mois
      • Plateforme certifiée HDS
      • +10 microservices d’ingestion et traitement de la donnée déployés pour les Data Engineers, basés sur des templates uniformisés
      • Mises en production hebdomadaires

    Nos certifications

    Tout comprendre sur la certification HDS

    Nous avons bien conscience qu’il s’agit d’une norme difficile à appréhender. Nous répondons ci-dessous aux questions qui reviennent régulièrement quand on parle d’Hébergement de données de santé et de norme ISO27001.

    1. Certification HDS et certification ISO27001, qu’est-ce que c’est ?

    La certification ISO27001 témoigne de la solidité de votre système de management de la sécurité de l'information (SMSI), garantissant la confidentialité, la disponibilité, l'intégrité et la traçabilité des données pour se protéger contre les cyberattaques et autres risques. Elle est nécessaire pour obtenir la certification HDS (Hébergeur de Données de Santé).

    Les entreprises qui manipulent des données de santé doivent se conformer à la réglementation HDS quelle que soit leur taille ou leur type d’hébergement (On premise ou Cloud). Par ailleurs, de nombreuses entreprises hors du domaine de la santé (finance, défense etc…) décident de se conformer aux exigences HDS, même si elles ne sont légalement pas contraintes de le faire. 

    Vous entendrez souvent parler de “niveaux” concernant la certification HDS. Voici à quoi cela correspond :
    Les niveaux 1 et 2 concernent les serveurs physiques. Ainsi, si vous en possédez vous aurez besoin de ces deux premiers. 
    Les niveaux 3, 4, 5 et 6 encadrent les environnements applicatifs. Ils sont obligatoires, peu importe votre type d’hébergement (cloud ou physique). 


    Résumons, si vous avez vos propres serveurs physiques, vous serez donc évalués sur les niveaux 1 à 6. Si vous êtes sur le Cloud, votre Cloud provider supportera lui-même la certification niveaux 1 et 2, et vous serez évalué sur les niveaux 3 à 6. 

    Si votre activité vous oblige à héberger des données de santé, vous avez deux possibilités. Soit, vous entrez en contact avec un organisme de certification tel que l’AFNOR, BSI Group, Bureau Veritas… et commencez le processus de certification. Soit, vous passez par un prestataire certifié HDS pour construire, améliorer, maintenir et sécuriser votre infrastructure selon la réglementation. Theodo Cloud est l’un de ces prestataires. 

    C’est une question complexe qui dépend des enjeux de votre entreprise. Mais il y a tout de même deux grandes questions que vous pouvez vous poser pour faire votre choix. La première question étant : Ai-je les ressources internes (humaines et financières) pour passer la certification et la maintenir ? 
    Pour vous donner un ordre d’idée, il faudra compter environ 150 000 € pour passer la certification, en prenant en compte le coût de la certification et le coût des ressources humaines. Les années suivantes, il faudra compter environ 20 000 € juste pour maintenir la certification.
    La seconde : ai-je besoin d’être en conformité dans moins d’un an ou à plus long terme ? Passer cette certification représente un délai à prendre en compte. 

    Si vous avez les ressources et une année devant vous, prenez contact avec les organismes de certification précédemment cités. Si ce n’est pas le cas, il est alors conseillé de se tourner vers un infogéreur HDS certifié.