beawolf - Fotolia
À la traîne, IBM obtient la certification hébergeur de données de santé en France
IBM a annoncé avoir obtenu la certification hébergeur de données de santé en France. Elle porte sur deux datacenters IBM Cloud en France (Paris) et en Allemagne (Francfort), ainsi que sur les centres de données IBM Services situés dans l’Hexagone, mais dont les emplacements restent à la discrétion du fournisseur.
IBM a obtenu la certification HDS en France, après AWS, Salesforce, Google Cloud Services, Thales, Claranet, Microsoft ou encore Equinix. Celle-ci, réalisée auprès du Bureau Veritas, couvre les six domaines surveillés par les autorités concernant l’hébergement et le traitement des données de santé.
« Avec la certification HDS, nous pouvons désormais renforcer notre leadership en matière de sécurité auprès de nos clients français en leur permettant d’héberger leurs données les plus sensibles dans nos datacenters », affirme Agnieszka Bruyère, Vice-Présidente cloud et cognitive d’IBM France dans un communiqué de presse.
Une question s’impose. Pourquoi Big Blue, pourtant fortement engagé auprès des acteurs de santé et dans la recherche médicale, a-t-il pris autant de temps pour obtenir ce précieux sésame ? Selon Agnieszka Bruyère, il s’agit davantage d’une mise à jour. « Nous avions la certification HDS pour nos infrastructures mutualisées en France. Nous avons lancé cette démarche en 2018 pour l’obtenir finalement en juillet/août 2019 […] Nous avions beaucoup de clients dont les données étaient hébergées sur ces infrastructures-là, nous n’avions donc pas demandé d’étendre la certification au cloud d’IBM », explique-t-elle au MagIT.
Un petit retard par rapport aux concurrents
La certification HDS concerne deux centres de données IBM Cloud en Europe (Paris et Francfort) et les infrastructures IBM Services en France. D’après la dirigeante, la demande émanerait des clients. « Le secteur de la santé se transforme. Il y avait nécessité de faire cette certification parce que nos clients envisagent une utilisation du cloud », déclare-t-elle.
Cette annonce ne vise pas seulement les hôpitaux ou les centres de soins. IBM sert des groupes mutualistes, des assureurs, des éditeurs de logiciels et tout organisme qui traitent de la donnée de santé. « C’est un segment phare pour IBM après le secteur financier », considère Agnieszka Bruyère. Le fournisseur envisage que ses clients puissent profiter de ses hébergements cloud certifiés pour proposer des « solutions innovantes ».
IBM est, semble-t-il, habitué à ce genre de « formalités ». L’opérateur a obtenu pour son cloud public l’HIPAA, l’équivalent américain du HDS, HITRUST, SOC 1 Type 2, SOC 2 Type 2, SOC 3 ainsi que les ISO 27018 et 27001. Cette dernière norme est à la base du certificat hébergeur de données de santé qui est bien plus compliqué à obtenir qu’auparavant selon les spécialistes du secteur.
Rassurer les clients en leur donnant les clés de chiffrement
Par ailleurs, IBM a annoncé au début du mois d’octobre avoir suivi les exigences de la banque centrale européenne en matière de cloud computing dans le secteur de la finance. Dans la même veine, le fournisseur a mis à jour ses services de sécurité. « La sécurité très clairement est au cœur de notre stratégie à la fois pour respecter nos engagements contractuels avec les clients et la protection de notre cloud », maintient Agniezska Bruyère.
Concernant la certification HDS en France, Big Blue s’est restreint à des sites européens, contrairement à Google. L’éditeur reste tout de même soumis au CLOUD Act, de par ses origines américaines. Il veut rassurer les utilisateurs en proposant des services de chiffrement de données inclus dans ses offres IBM Cloud Hyper Protect. Dernièrement, il a présenté Keep Your own Key, un outil de gestion qui en principe confie uniquement les clés de chiffrement dans Kubernetes Service et Red Hat OpenShit sur IBM Cloud. Pour les autres produits IBM, son équivalent se nomme Key Control.
« Il est question de savoir qui détient les clés qui servent à faire l’encryption. Justement avec ces modules-là, ce sont les clients qui les gèrent et rendent possible le déchiffrement des données. C’est une sécurité supplémentaire pour qu’elles ne soient pas accessibles par les exploitants des systèmes IT et des entités externes à l’entreprise » […] « Les puristes peuvent vous dire qu’à un moment donné, comme l’information est traitée, elle est disponible en clair dans la RAM des systèmes pendant quelques millisecondes. Je ne dis pas que la technique de chiffrement est 100 % infaillible, mais si faille il y a, elle sera plutôt le fait d’individus malveillants. Cela réduit tout de même la surface de risque », estime la Vice-Présidente cloud et cognitive d’IBM France.
Pendant ce temps dans le secteur de la santé publique, les problèmes de sécurité s’accumulent.