Comment rater son projet d’externalisation de données de santé en 6 étapes ? #6

Vouloir tout faire seul en pensant que c’est une source d’économie

« Je vais faire au moins cinq devis et je présenterai à ma Direction la proposition la moins chère. Les prix des services d’infogérance proposés par les hébergeurs HDS sont prohibitifs. Je vais former mes équipes à s’occuper de la sécurité, des sauvegardes, du patching des systèmes d’exploitation, …, et comme cela, je vais réduire mes coûts d’hébergement !»

A chacun son métier

Pour une structure de santé, être hébergeur de données de santé n’a pas vraiment de sens stratégique et encore moins économique. Tout d’abord, le ticket d’entrée pour être hébergeur certifié est loin d’être négligeable : il faut se lancer dans l’obtention de la certification ISO27001 puis de la certification HDS, ce qui représente au minimum un an de travail préparatoire en coordonnant plusieurs directions métier. Ensuite, il faut maintenir dans le temps ces certifications avec des audits de surveillance annuels puis de renouvellement complet tous les 3 ans.

Il faut aussi disposer de deux datacenters - les salles blanches - à l’état de l’art avec des serveurs, des baies de stockage, des réseaux, des firewalls, … et ensuite disposer des moyens humains pour assurer la maintenance des matériels/logiciels et assurer les prestations d’infogérance (IaaS, PaaS, Sauvegarde, …). Il faut enfin s’organiser pour assurer une prestation certifiée HDS d’un point de vue contractuel ; c’est nécessaire dans le cas d’une base de données de santé accédée par des entités juridiques distinctes (par exemple, un laboratoire d’analyse et un centre hospitalier).

Choisir le statut d’hébergeur, c’est faire le choix d’un véritable sacerdoce et bien être conscient que l’énergie dépensée le sera au détriment de son cœur de métier comme fournir des services de télémédecine à ses patients, assister les professionnels de santé à la prise en main des outils de télétravail, fournir une assistance au fonctionnement du DPI de l’établissement, superviser le fonctionnement du patrimoine IT, effectuer des analyses de risques, faire de la maîtrise d’ouvrage sur des projets d’étude à forte valeur ajoutée, … Pourquoi diantre s’efforcer de vouloir devenir garagiste alors que des centres spécialisés en carrosserie, mécanique, tuyauterie, … ont déjà pignon sur rue depuis des années avec des hommes de l’art chevronnés ?

Plus de 100 hébergeurs HDS et des offres difficilement comparables

Les hébergeurs n’ont pas tous la même approche et les réponses ne sont vraiment pas comparables (sauf une grosse partie du catalogue de services des trois « GafAM » certifiés HDS). Certains vont proposer un hébergement de type IaaS (Infrastructure As A Service) sans véritablement de services autour (parfois au détriment des contraintes les plus élémentaires en terme de sécurité), certains vont proposer du conseil bien en amont et proposer une réponse circonstanciée en fonction du profil du projet HDS et de la structure de santé. Est-ce que cette dernière dispose de compétences SQL Server ? Est-ce qu’elle cherche à effectuer elle-même le patch management des systèmes d’exploitation ? Est-ce qu’elle souhaite une interconnexion via un VPN site-à-site ? Est-ce qu’une sonde de monitoring des bases de données de santé ne serait-elle pas judicieuse au vu de la criticité de l’applicatif en jeu ? Un orchestrateur de containers est-il obligatoire ?

Il n’y a pas véritablement de réponse type ; l’hébergeur a avant tout un rôle de conseil et peut tout à fait proposer une approche différente de la demande initiale ; par exemple, la mise en place d’une séparation du système d’information en deux parties : une concernant l’environnement non HDS et une pour le SI comprenant des données de santé, le tout protéger par une interconnexion privative et filtrée par des firewalls internes.

L’analyse précise des données à héberger peut révéler une nécessité de réduire la voilure de l’environnement de production, la mise en œuvre de services managés avec des fonctions de supervision système et applicative est un gage de sérieux de la part de l’hébergeur, l’infogérance de la cyber sécurité avec des systèmes de firewalling à double niveaux, une présence de système de type EDR sur les serveurs, des systèmes de WAF, … sont indéniablement des éléments dont il n’est pas possible de se passer en 2020.

Un partenariat HUMAIN avant tout

C’est avant tout un contrat de confiance qu’il faut aller chercher ; il est donc nécessaire de pouvoir « sentir » cet aspect de confiance au travers d’échanges et de rencontres physiques (et virtuelles) aussi diverses que variées : commerciales, avant-vente, techniques, service clients, juridiques, offres, … Bien évidemment, la réactivité, l’agilité et un certain sens d’artisanat doivent être au cœur des préoccupations des offreurs de services HDS.

Conseil n°6 : Choisir un partenaire-conseil et non un simple deviseur, exiger un véritable contrat de confiance !

Partager ce document sur les réseaux

?>