À la traîne, IBM obtient la certification hébergeur de données de santé en France  

Un petit retard par rapport aux concurrents

La certification HDS concerne deux centres de données IBM Cloud en Europe (Paris et Francfort) et les infrastructures IBM Services en France. D’après la dirigeante, la demande émanerait des clients. « Le secteur de la santé se transforme. Il y avait nécessité de faire cette certification parce que nos clients envisagent une utilisation du cloud », déclare-t-elle.

Cette annonce ne vise pas seulement les hôpitaux ou les centres de soins. IBM sert des groupes mutualistes, des assureurs, des éditeurs de logiciels et tout organisme qui traitent de la donnée de santé. « C’est un segment phare pour IBM après le secteur financier », considère Agnieszka Bruyère. Le fournisseur envisage que ses clients puissent profiter de ses hébergements cloud certifiés pour proposer des « solutions innovantes ».

IBM est, semble-t-il, habitué à ce genre de « formalités ». L’opérateur a obtenu pour son cloud public l’HIPAA, l’équivalent américain du HDS, HITRUST,  SOC 1 Type 2, SOC 2 Type 2, SOC 3 ainsi que les ISO 27018 et 27001. Cette dernière norme est à la base du certificat hébergeur de données de santé qui est bien plus compliqué à obtenir qu’auparavant selon les spécialistes du secteur.

Rassurer les clients en leur donnant les clés de chiffrement

Par ailleurs, IBM a annoncé au début du mois d’octobre avoir suivi les exigences de la banque centrale européenne en matière de cloud computing dans le secteur de la finance. Dans la même veine, le fournisseur a mis à jour ses services de sécurité. « La sécurité très clairement est au cœur de notre stratégie à la fois pour respecter nos engagements contractuels avec les clients et la protection de notre cloud », maintient Agniezska Bruyère.

Concernant la certification HDS en France, Big Blue s’est restreint à des sites européens, contrairement à Google. L’éditeur reste tout de même soumis au CLOUD Act, de par ses origines américaines. Il veut rassurer les utilisateurs en proposant des services de chiffrement de données inclus dans ses offres IBM Cloud Hyper Protect. Dernièrement, il a présenté Keep Your own Key, un outil de gestion qui en principe confie uniquement les clés de chiffrement dans Kubernetes Service et Red Hat OpenShit sur IBM Cloud. Pour les autres produits IBM, son équivalent se nomme Key Control.

« Il est question de savoir qui détient les clés qui servent à faire l’encryption. Justement avec ces modules-là, ce sont les clients qui les gèrent et rendent possible le déchiffrement des données. C’est une sécurité supplémentaire pour qu’elles ne soient pas accessibles par les exploitants des systèmes IT et des entités externes à l’entreprise » […] « Les puristes peuvent vous dire qu’à un moment donné, comme l’information est traitée, elle est disponible en clair dans la RAM des systèmes pendant quelques millisecondes. Je ne dis pas que la technique de chiffrement est 100 % infaillible, mais si faille il y a, elle sera plutôt le fait d’individus malveillants. Cela réduit tout de même la surface de risque », estime la Vice-Présidente cloud et cognitive d’IBM France.

Pendant ce temps dans le secteur de la santé publique, les problèmes de sécurité s’accumulent.