Project Cloud / Sécurité - Analyse de risques

Projet Sécurité : RSS
Mastère Spécialisé Cloud Computing et SaaS, 2014/2015
Présenté par:
Dao Kasysavanh - Sébastien Kieger - Stéphane Ewbank - Yassir Qrichi
JURY
PRESIDENT: O. Caleff
MEMBRES: J. Lemée
T. Chiofalo

2
Table des matières
Contenu
I. Présentation globale de la solution............................................................................................. 3
I.A Les fonctionnalités ...................................................................................................................... 3
I.B Les acteurs ................................................................................................................................... 4
I.C SWOT ............................................................................................................................................ 5
II. Analyse de sécurité........................................................................................................................... 6
II.A Contexte....................................................................................................................................... 6
II.B Surface d’attaque........................................................................................................................ 7
II.C Les menaces ............................................................................................................................... 7
II.D Mise en place d’un SMSI ............................................................................................................ 8
II.E Analyse de risque ....................................................................................................................... 9
II.F Solutions de sécurité cloud ..................................................................................................... 10
II.G Principales mesures de contrôles de sécurité ...................................................................... 11
II.H Les engagements de sécurité ................................................................................................. 12
II.I Audit interne ............................................................................................................................... 12
II.J Gestion des incidents ............................................................................................................... 12
II.K Gestion des évènements de sécurité ..................................................................................... 13
II.L Gestion des vulnérabilités........................................................................................................ 13
III. Caractéristiques techniques ......................................................................................................... 14
III.A Architecture technique............................................................................................................ 14
III.B Prérequis................................................................................................................................... 15
III.C Grille tarifaire............................................................................................................................ 16
IV. Services annexes........................................................................................................................... 17
IV.A Unité d’œuvre .......................................................................................................................... 17
IV.B Migration................................................................................................................................... 17
IV.C PRA/PCA................................................................................................................................... 18
V. Aspects Juridiques......................................................................................................................... 22
V.A L’agrément ASIP....................................................................................................................... 22
V.B Les engagements de l’hébergeur et du professionnel de santé ......................................... 23
V.C Le contrat .................................................................................................................................. 25
VI. Contrat de service SLA : Qualité de service et niveau d’engagement..................................... 29
VI.A Engagements ........................................................................................................................... 29
VI.B Indicateurs ............................................................................................................................... 30
VI.C Suivis ........................................................................................................................................ 30
VI.D Pénalités................................................................................................................................... 31
Conclusion ........................................................................................................................................... 32
Glossaire .............................................................................................................................................. 33

3
I. Présentation globale de la solution
I.A Les fonctionnalités
La société RSS est un hébergeur agréé par l’Agence nationale des Systèmes
d’Information Partagés de santé (ASIP). Elle met à disposition des services de
connectivité, de sécurité et d’hébergement à destination des professionnels de santé.
RSS s’intéresse aujourd’hui au cloud, essentiellement pour des raisons de coûts et
pour répondre à la montée en charge de ses activités.
La solution proposée est de transformer RSS en un fournisseur de cloud public
mettant à disposition des services IaaS/SaaS à destination des professionnels de
santé :
• Hébergement: les données sont hébergées sur des plateformes haute
disponibilité accessibles 24h/24 et 7j/7;
• Sécurité: la solution garantie l’authentification et le contrôle des accès, le
chiffrement des flux et des données, la traçabilité et les éléments de preuves, la
disponibilité et l’accessibilité des services hébergés;
• Localisation: les données restent sur le territoire national;
• Sauvegarde: les sauvegardes se font en ligne depuis un logiciel de santé fourni
en mode SaaS;
• Messagerie sécurisée pour la télétransmission des FSE en mode SaaS;
• Assistance 24h/24H, 7j/7.

4
I.B Les acteurs
• Les professionnels de santé : médecins, dentistes, pharmaciens…
• Les professions paramédicales : kinésithérapeutes, infirmières, pédicures,
podologues, orthophonistes, orthoptistes, ergothérapeutes…
• Les fournisseurs de biens médicaux : audioprothésiste, oculariste, opticien-lunetier,
orthopédiste-orthésiste, orthoprothésiste, podo-orthésiste...
• Les laboratoires d’analyses médicales ;
• L’Assurance Maladie (AMO) ;
• Les Mutuelles complémentaires (AMC) ;
Scénarios possibles d’utilisation:
La solution doit répondre aux processus métiers suivants:
• Réceptionner les données des professionnels de santé;
• Héberger les données, transmettre des données à l’AMO et les AMC;
• Transmettre des informations aux professionnelles.

5
I.C SWOT
Forces Faiblesses Opportunités Menaces
SaaS -Pure
consommation
- Hébergement
agréé
-Paiement à la
consommation
-Pas
d’investisseme
nts (CAPEX)
- Pas de
personnel SI
dédié.
- Gestion
interne de la
configuration
uniquement
- Dépendance totale à
un fournisseur
- Offre non adaptable,
non spécifique
- Aucune garantie sur
les évolutions et les
corrections des
applicatifs
- Dépendance totale
du réseau
- Multi tenant
- Monitoring très
restreint
- Coût de la migration
- Toujours sur
la dernière
version
logicielle
- Possibilité de
changer de
fournisseur
assez
aisément.
- Isolement
/ Segmentation
insuffisante
- Aucun contrôle
sur les mesures
de sécurité
-Territorialité
- Contrat /SLA
trop simplifié
Forces Faiblesses Opportunités Menaces
Iaas - Hébergement
agréé
- Paiement à la
consommation
- Elasticité
- Support
permanent sous
réserve de
souscription
- Pas
d’investissements
(CAPEX)
- Hébergement
Mutualisé si
cloud public
- clauses SLA
non exhaustives
- IAM insuffisants
- Logs et
journaux
insuffisants
- Dépendance
totale du réseau
- Coût de la
migration
- Utilisation de
solutions de
sécurité
complémentaires
spécifiques et
ciblées
- Réduction des
coûts (matériels,
humains)
-Optimisation des
ressources
matérielles
- PCA ou PRA
fourni par
l’hébergeur
- Accès aux
dernières
technologies
- Isolement /
Segmentation
insuffisante
- Portabilité
- Réversibilité
-Contrat jamais
exhaustif
- Territorialité
- Pertes de
compétences
internes
- Totale
dépendance au
fournisseur
Le modèle PaaS a été abandonné car RSS sera exclusivement un fournisseur de
services IaaS/SaaS.

6
II. Analyse de sécurité
II.A Contexte
Le choix de RSS est de se transformer en hébergeur de Cloud public à
destination des professionnels de santé.
La première action consiste à analyser le contexte d’un point de vue sécurité, que ce
soit au niveau SaaS ou IaaS.

7
II.B Surface d’attaque
On commence par lister l'ensemble des vulnérabilités qui peuvent impacter notre
future infrastructure cloud en partant de l'extérieur avec les points d'accès, puis au
niveau des couches SaaS et IaaS, pour finir au niveau des exploitants de la
plateforme Cloud.
Les vulnérabilités peuvent se rencontrer au niveau des applications, du système
d'exploitation, des postes de travail ou de l’infrastructure cloud elle-même.
II.C Les menaces
Après avoir listé l’ensemble des vulnérabilités lié au cloud, on constate qu’il en
découle un certain nombre de menaces.
Au niveau des accès externes, les menaces peuvent être de types:
• Buffer Overflow;
• Injection SQL;
• Déni de service;
• Brute de force sur l'authentification.
En interne, les menaces peuvent provenir:
• Des API et du code non sécurisés;
• Des attaques sur l'hyperviseur;
• Des failles XSS;
• D’un mauvais paramétrage des RBAC (gestion des rôles) et des ACL;
• D'un changement non planifié;
• D'une attaque brute sur l'authentification;
• De la malveillance humaine;
• De l’emploi de codes malveillants (DNS poisoning, XSS, Phishing)

8
II.D Mise en place d’un SMSI
L’implémentation d’un Système de Management de la Sécurité de l’Information
répond à plusieurs objectifs:
• Réaliser une analyse des risques en fonction des différents composants qui
doivent être mis dans le cloud et évaluer les différents risques afin de mettre
en place les solutions de sécurités disponibles sur marchés pour réduire ces
risques au maximum;
• Déployer les différentes solutions de sécurité dans l'infrastructure et évaluer
les composants de sécurités à travers des indicateurs;
• Mettre en place des indicateurs, des audits internes et des contrôles de
conformité afin d'évaluer l'adéquation des règles mises en places avec la PSSI
de l'entreprise;
• Afin d’assurer l’amélioration continue de notre Système d’information, on
mettra en place une équipe dédiée à la gestion des incidents, de la veille sur
les vulnérabilités et de la gestion de la sécurité.
Tout cela dans l'optique d'une amélioration continue de la sécurité:

9
II.E Analyse de risque
De l'analyse de risque va découler un ensemble de solutions à mettre en place
afin d’obtenir un risque résiduel acceptable pour l'infrastructure cloud.

10
II.F Solutions de sécurité cloud
Afin de sécuriser les différentes couches du cloud, un ensemble d’outils va être mis
en place pour réaliser les opérations de prévention, de détection/surveillance et de
protection du cloud:
Outils de sécurité pour la couche Web:

11
II.G Principales mesures de contrôles de sécurité
La mise en place des indicateurs de sécurité permet de mesurer l'efficacité du
SMSI. Ci-dessous la liste des principales mesures de contrôles de sécurité:

12
II.H Les engagements de sécurité
Les engagements de sécurité vis-à-vis des clients sont les suivants:
• Connexion: Une authentification forte (login/password + carte CPS + token ou
bien biométrie)
• Données: Chiffrage SSL des données entre le navigateur du praticien et le
cloud: SSL – Accès sécurisé au web service : RestFul (HTTPS)
• Supervision de la sécurité en temps: Assurer une surveillance en temps réel
de la sécurité en mettant en place des outils de supervision et une revue
mensuelle des tableaux de bord sécurité.
II.I Audit interne
L’audit interne va concerner les composants suivants de la PSSI:
• Politique de Sécurité;
• Organisation;
• Gestion des droits des personnes;
• Ressources humaines;
• Contrôle d’accès;
• Télécommunications;
• Traçabilité;
• Gestion des incidents;
• Test plan de Sauvegarde;
• Continuité de service;
• Gestion des évolutions Conformité.
II.J Gestion des incidents
Dans la phase d’amélioration continue, la gestion des incidents, des
vulnérabilités et des évènements est une obligation du SMSI:

13
II.K Gestion des évènements de sécurité
Vue d’ensemble de la gestion des événements de sécurité et de son rôle dans la surveillance ()
II.L Gestion des vulnérabilités
Procédure de correction de la sécurité.()
Liste des sites open des vulnérabilités :
• (en) OSVDB : Liste open source des vulnérabilités;
• (en)(fr) scip VulDB : Liste open des vulnérabilités;
• (en)(fr) Définition et liste des vulnérabilités sur le site de Microsoft;
• (fr)Pôle ARESU de la DSI du CNRS : Étude sur les failles de sécurité des
applications Web.

14
III. Caractéristiques techniques
III.A Architecture technique
Les professionnels de santé se connectent au Data Center par SSL ou VPN en
fonction du service cloud auquel ils veulent accéder.
Le répartiteur de charge va rediriger le trafic à l’intérieur du Data Center au moyen de
l’algorithme round robin.
S’agissant d’un cloud public, l’architecture est de type multi-tenant. Par conséquent,
chaque couche est isolée :
• la couche applicative sépare les instances d’une même application pour
différents clients;
• les environnements d’exécutions sont isolés avec des machines virtuelles;
• le réseau interne est segmenté en VLANs ;
• le stockage est isolé avec des mécanismes tels que le LUN masking ou SAN
zoning.
L’infrastructure est monitorée 24h/24, 7j/7 avec l’outil de supervision Nagios. Afin
d’éviter les SPOF, les équipements du Data Center sont redondés. Les données sont
répliquées sur un second Data Center (pas sur le schéma) par deux liaisons fibre
noire hébergées chez deux ISP différents.

15
III.B Prérequis
Voici la liste des prérequis au niveau du poste client et des composants de
l'infrastructure cloud:
Poste client :
Config minimum Config recommandée
Processeur Mono Core 1,2 Ghz Dual Core 2,4 Ghz
Mémoire 1 Go 4 Go
OS Windows 7 et supérieur, Linux, client Mac
Java Dernière version stable
Internet ADSL 1 Mb/s SDSL 4 Mb/s
Sécurité Ports TCP ouverts: 80, 443
OS et navigateurs supportés poste client:
Linux
Mac OS 10.6 ou
supérieur
Windows Vista/7 Windows 8
Safari 7.x
Internet Explorer 9
Internet Explorer
10
Internet Explorer
10
Internet Explorer
11
Internet Explorer
11
Google Chrome Google Chrome Google Chrome Google Chrome
Firefox 4 ou
supérieur
Firefox 4 ou supérieur
Firefox 4 ou
supérieur
Firefox 4 ou
supérieur
Serveur cloud :
Scale Unit
Processeur Octo Core 2 Ghz
Mémoire 256 Go
Disque (OS) 2 SAS RAID 1
Stockage local 146 Go
Hyperviseur Hyper-V 3
Réseau :
Nb de NCIs dédiées Rôles des NCIs
10 Gb 3 2 NCIs 10 Gb pour le trafic, 1 NCI 1 Gb pour le management
Connectivité SAN :
Nb de NCIs dédiées
Fibre Channel 2 - 4GB FC HBAs

16
III.C Grille tarifaire
Ci-dessous la grille tarifaire des services cloud que proposera RSS:
Services SaaS Abonnement Prix € HT Prix € TTC
Sauvegarde en ligne
1 Go Tarif mensuel 8,33 9,99
Messagerie santé
1 BAL FSE Tarif mensuel 4,17 5
20 BAL FSE Tarif mensuel 25 30
Assistance/hotline
Abonnement Tarif mensuel 4,18 5,02
Connexion au service A la minute 1,26 1,52
Messagerie vocale Tarif mensuel 5,85 7,02
Services IaaS vCPU RAM
Espace
disque Abonnement
Prix €
HT
Prix €
TTC
Machines
virtuelles
Small 2 2 Go 25 Go Tarif mensuel 9,99 11,99
Medium 4 4 Go 50 Go Tarif mensuel 15,99 19,19
Large 6 8 Go 100 Go Tarif mensuel 29,99 59,99
Extra Large 8 16 Go 200 Go Tarif mensuel 59,99 71,99

17
IV. Services annexes
IV.A Unité d’œuvre
Le modèle de sous-traitance en Unité d’Œuvre au plus juste de la consommation
réelle et en fonction de la variabilité de l’activité en prestation informatique s’impose
dans la facturation des services en mode Cloud. Il repose sur la définition de
“prestations packagées” à un prix fixé. En mode Iaas, la facturation en Unité d’Œuvre
est fonction du nombre de Serveurs, Machines Virtuelles, CPU, RAM et Stockage.
Nous proposons en option les Services facturés en Unité d’Œuvre selon le périmètre
de votre SI.
Nos domaines d’expertise:
• Migration;
• PRA/PCA;
• Sauvegarde;
• Stockage;
• Archivage;
• Snapshot.
IV.B Migration
Le périmètre du SI éligible à la migration dans le Cloud a été défini dans notre
étude au préalable; nous pouvons vous offrir nos compétences pour effectuer la
migration de votre SI dans le cloud. Afin de mener à bien cette phase de migration, il
est important que les équipes client et fournisseur travaillent en étroite collaboration.
Les phases de la Migration:
• Audit de l’existant du SI
Il est nécessaire de définir les périmètres matériels et logiciels à migrer dans le
Cloud.
- Les serveurs: CPU, RAM, Volumétrie disque
- Les Applications: critiques, importantes, non critiques
- Réseaux: routeurs, switches
- Sauvegarde de l’ensemble du périmètre
• Préparation de l’environnement dans le Datacenter
- Créer le périmètre défini à l’identique du site actuel dans le Cloud du
site Datacenter :
virtualisation des serveurs, serveurs dédiés rackés
- Création des Réseaux: Vlan.
• Transfert des Données dans le Cloud
- Transport des Données dans des containers sécurisés
- Le transporteur doit être accrédité
- Dans le cas de petite volumétrie, le transfert est effectué de façon sécurisée
par le réseau (SSL, cryptage)
- Dans le cas de grosse volumétrie, nous utiliserons les lecteurs LTO-4, LTO-5
et LTO-6 qui font appel au cryptage AES 256 bits garantissant ainsi des
niveaux de sécurité optimaux : Cryptage certifié FIPS avec prise en charge du
protocole KMIP permettant de gérer facilement les clés de cryptage

18
- Restauration de l’ensemble du périmètre des serveurs et postes de
travail utilisateurs
- Test de la restauration du périmètre
- Recette
• Validation
• Réplication du périmètre sur un autre DataCenter par sécurité de la première
bascule
- Test et Validation des applicatifs dans ce deuxième site
• Bascule et Mise en production
Pour garantir le succès de cette migration, une réorganisation des fonctions du
personnel du SI accompagné de plans de formation est nécessaire. Notre équipe
Support Technique est à votre service dans cette phase de Migration.
Il est à noter que la durée de cette phase de migration est plus ou moins longue
selon le périmètre que l’on souhaite migrer : nombre de serveurs, la volumétrie des
données, la complexité de l’environnement applicatif.
Par précaution, lors de la bascule vers le Cloud, et afin de conserver la possibilité de
la réversibilité, nous conservons l’intégralité du périmètre actuel du SI client en
Offline, le temps de la validation de la nouvelle mise en production.
IV.C PRA/PCA
Pour faire face à l'enjeu de la Haute Disponibilité des Serveurs, Données,
Réseaux, des Applications 24/7 requis par l’agrément ASIP, il est vital de mettre en
place un Plan de Reprise d’Activité (PRA) et/ou un Plan de Continuité d’Activité (PCA)
pour assurer le redémarrage des systèmes.
Le PCA et le PRA ont pour objectif de minimiser les pertes de Données et d'accroître la
réactivité en cas de sinistre majeur pour garantir la continuité de l'activité même en mode
dégradé. Le PCA en cas de sinistre, doit être transparent pour les utilisateurs ainsi
garantir l'intégrité des Données sans perte d'information.
Les ressources identifiées critiques sont l'Infrastructure Réseaux Client-Datacenter, les
Serveurs d’Applications, les Données.
Architecture Cloud PRA/PCA
Les serveurs de secours répliqués sont situés dans un deuxième Datacenter pour
être opérationnels dans le cas où le Datacenter primaire est inaccessible.

20
Bascule vers le site distant secondaire
La bascule vers le site de secours en transparence pour les utilisateurs.

21
Le PRA permet un démarrage à froid de l'activité après un sinistre, avec restauration
du système de sauvegarde. Le temps de reprise de l'activité du SI, RTO dépendra du
nombre de serveurs, de la volumétrie des données à restaurer. Le RTO affectera le
RPO: plus longue est la restauration du SI, plus long est le temps de non
enregistrement des Données.
Contrairement au PRA, le PCA permet une reprise à chaud par une redondance de
l'Infrastructure sur 1 ou 2 sites distants avec une solution de Réplication en Temps
Réel des Données: RTO et RPO proches de zéro.

22
V. Aspects Juridiques
V.A L’agrément ASIP
Préambule:
L’hébergeur ci-après nommé représente le fournisseur d’une solution RSS en mode
SaaS, et d’une solution indépendante de sauvegarde de données de santé à
caractère personnel en mode SaaS, et d’une solution IaaS destinée aux
professionnels de santé.
Cette nomenclature correspond à la nomenclature de l’ASIP. Elle est justifiée par le
fait que les données ne sont pas conservées "au sein" de l’établissement de santé, et
qu’elles doivent donc être considérées comme "hébergées", au sens du Code de la
santé publique.
Droit applicable:
Le cadre législatif de l'activité d'hébergement de données de santé à caractère
personnel est fixé par l’article L. 1111-8 du code de la santé publique.
Le cadre réglementaire est fixé par le Décret n° 2006-6 du 4 janvier 2006 relatif à
l’hébergement de données de santé.
Les conditions et le régime définis par le décret figurent aux articles R. 1111-9 à R.
1111-16 nouveaux du Code de la santé publique
Les professionnels de santé ou les établissements de santé peuvent déposer des
données médicales à caractère personnel auprès de tiers. (Article L1111-8 du code
de santé publique)
Deux conditions sont posées à cette possibilité d’hébergement des données de
santé :
• le consentement exprès du patient;
• l’obtention par l’hébergeur d’un agrément administratif.
L’hébergeur est donc agréé par la CNIL - il a la qualité d’un HADS
Il s’agit d’un agrément à l'hébergement des données de santé à caractère personnel,
accordé pour une durée de trois ans, renouvelable par demande après audit externe,
concernant la conformité Sécurité et Technique.
L’hébergeur a complété à cet effet un dossier en s’appuyant sur un référentiel
élaboré par l’ASIP Santé, dans lequel Il a démontré sa capacité à mettre en œuvre
une politique de sécurité et de confidentialité, destinée notamment à assurer le
respect des exigences de confidentialité et de secret, la protection contre les accès
non autorisés ainsi que la pérennité des données, et dont la description a été jointe
au dossier d’agrément .

23
V.B Les engagements de l’hébergeur et du professionnel de santé
L’hébergeur est agréé pour une prestation dite « générique » lui permettant
d’héberger des applications contenant des données de santé à caractère personnel,
qui inclut l’hébergement d’applications de type messageries sécurisées de santé.
L’hébergeur s’engage à formuler une nouvelle demande pour toute modification du
périmètre de ses services agréés.
L’hébergeur s’engage à maintenir ses demandes d’agrément pour la durée des
contrats souscrits, ainsi qu’à mettre en œuvre tous les moyens à sa disposition pour
obtenir son renouvellement.
L’hébergeur s’engage à assurer une veille juridique, devant respecter le cadre
juridique et opérer cas échéant des modifications à son service.
L’hébergeur confirme que les données ne peuvent être utilisées à d’autres fins que
celles définies dans le contrat d’hébergement.
L’hébergeur confirme être soumis au secret professionnel, et respecte l’article
art. L.1110-4.
L’hébergeur atteste s’attacher les services d’un médecin dans son
organisation, lié par contrat.
Principales missions du médecin:
Encadrement des procédures de restitution, de modification et de destructions de
données
Traitement de toute demande émanant d’une personne dont les données sont
hébergées qui vise à obtenir la communication, la rectification ou l’effacement de tout
ou partie de ses données hébergées.
Vérification de la cohérence d’informations éventuellement suite à un incident.
Vérification du respect déontologique en matière de données de santé à caractère
personnel, pour l’ensemble du système.
Dans le cadre du Service, c’est le médecin de l’hébergeur qui est le seul habilité à
pouvoir déchiffrer les données sauvegardées par le Client en cas de nécessité.
Le médecin hébergeur est associé aux processus de gestion des incidents.
L’hébergeur confirme que le patient dispose, conformément au droit commun issu de
la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,
d’un droit d’opposition et de rectification, et de suppression des données.
Au quotidien, l’hébergeur s’appuie sur une dérogation à l’obligation de recueil du
consentement, apportée par l’article 25 de la loi n°2007-117 du 30 janvier 2007, pour
ne plus exiger le consentement du patient, dès lors que l’accès aux données
hébergées est limité au seul professionnel de santé ou établissement qui les a
déposées.

24
Une seconde dérogation permet à un établissement de santé qui décide désormais
de faire héberger ses données par un hébergeur de ne pas solliciter le consentement
de ses patients.
L’hébergeur rappelle que le professionnel de santé est responsable du traitement
des données hébergées.
Le professionnel de santé s’engage à remplir l’ensemble des obligations découlant
de la loi du 6 janvier 1978, et notamment celle d’informer les personnes concernées
de leur droit d’accès, de modification et de suppression des données traitées. Il
conservera à sa charge l’ensemble des déclarations, demandes d’autorisation et
autres procédures et démarches à accomplir auprès de la Commission Nationale de
l'Informatique et des Libertés (CNIL) afférentes aux traitements de données à
caractère personnel qu’il mettra en œuvre.
L’hébergeur reportant sur son client le recueil du consentement exprès de la
personne concernée à l’hébergement de ses données de santé, il porte à son
attention les modalités de recueil du consentement: un formulaire de recueil du
consentement à retirer auprès de la CNIL doit être formalisé.
L’hébergeur rappelle au professionnel de santé qu’il est responsable de son poste de
travail, de son équipement de SI. Celui-ci doit respecter des mesures de sécurité
particulières, afin notamment de répondre aux exigences de confidentialité. La
sécurité du poste de travail est entièrement sous la responsabilité du professionnel
de santé.
L’hébergeur fournit à cet effet une liste de recommandations, communiquées au
professionnel de santé lors de la souscription d’un des services proposés.
Le poste de travail du professionnel de santé doit répondre aux caractéristiques
techniques spécifiées par l’hébergeur.
L’hébergeur rappelle au professionnel de santé qu’il est responsable de sa carte
CPS :
En cas de perte, de vol ou de dysfonctionnement de sa carte CPS, le professionnel
de santé titulaire en informe l'organisme émetteur dans la mesure où il en est
conscient.
Afin d'éviter les utilisations frauduleuses des cartes de professionnel de santé,
l'organisme émetteur établira une liste d'oppositions qui sera mise à la disposition
des utilisateurs.
La mise en opposition de la carte entraînera la révocation automatique des certificats
contenus dans la carte, l’inscription dans la liste des certificats révoqués et la
suppression de ces certificats de l’annuaire CPS.

25
V.C Le contrat
Un contrat doit être conclu entre le déposant et l’hébergeur qui détermine les
droits et obligations de chacun et les modalités d’accès et de transmission des
informations hébergées qui sont subordonnées à l’accord de la personne concernée.
Le contrat conclus entre l’hébergeur et son client (établissements de santé,
médecins, etc.) stipule les points suivants:
Les services proposés:
• Un service de boîte aux lettres de télétransmission de feuilles de soin, de
messagerie médicale, de services intranet, d’hébergement de données
médicales, de sauvegarde de fichiers et de données médicales, s’appuyant
sur des infrastructures opérées par l’hébergeur, via une connexion Internet
haut-débit, en mode SaaS.
• Une solution indépendante de sauvegarde de données de santé à caractère
personnel en mode SaaS
• Une solution IaaS destinée aux professionnels de santé.
L’abonnement au service:
• Sur la base d’un engagement mensuel, tout forfait mensuel engagé étant dû.
La première prestation de service souscrite devient effective après retour du
contrat accepté et signé auprès du fournisseur.
Toute demande de provisionnement (ou de dé provisionnement) supplémentaire
par le professionnel de santé déjà engagé sur un service s’appuie sur ce
contrat et ne nécessite qu’une simple demande par courriel.
Le désabonnement définitif au service se fait par dénonciation du contrat
auprès de l’hébergeur.
Les caractéristiques principales :
• Les dispositions pour assurer la sécurité des données et la garantie des
secrets protégés par la loi sont conformes à celles de l’agrément ASIP -
Agence nationale des systèmes d’information partagés de santé - avec une
politique de confidentialité et de sécurité correspondant aux exigences de la
CNIL.
• Le chiffrement des données : Le cryptage des données est réalisé avec le
protocole SSL.
• La localisation des infrastructures dans lesquelles est réalisé l’hébergement :
Situées en France métropolitaine.
• Les modalités selon lesquelles les données hébergées sont mises à la
disposition du professionnel de santé ou de l’établissement de santé sont

26
incluses dans la description de chacun des services et dans ce document, leur
restitution en cas de rupture de contrat de service étant décrite ci-après.
• Le recueil de l’accord des personnes concernées par ces données s’agissant
tant de leur hébergement que de leurs modalités d’accès et de transmission
est opéré par le professionnel de santé.
L’hébergeur confirme que le patient dispose, conformément au droit commun
issu de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et
aux libertés, d’un droit d’opposition et de rectification, et de suppression des
données.
Les applications opérées dans les services de l’hébergeur ne prévoyant pas
d’accès direct du patient à l’application, les requêtes du patient doivent alors
être adressées au professionnel de santé.
• La mention des indicateurs de qualité et de performance permettant la
vérification du niveau de service annoncé, ainsi que de la périodicité de leur
mesure (SLA)
L’accès au service :
• Est subordonné à la souscription par le professionnel de santé d’un service
internet haut débit auprès d’un ISP, et à la compatibilité technique de
l’équipement informatique du professionnel de santé, répondant aux
caractéristiques spécifiées par l’hébergeur.
L’accès au service s'effectue à distance, via le réseau Internet, il est soumis
aux aléas techniques inhérents à l’Internet, et aux interruptions d’accès qui
peuvent en résulter. De ce fait, l’hébergeur ne peut pas être tenu responsable
des difficultés d’accès ou impossibilité momentanée d’accès au service, dues
à des perturbations des réseaux de télécommunication.
• L’hébergeur propose au professionnel de santé, moyennant finances, l’accès
à une connexion réseau dédiée vers ses emplacements de connexion, en
alternative à l’utilisation d’internet. Le raccordement à ses emplacements reste
à la charge et sous la responsabilité du professionnel de santé.
L’hébergeur fournit à cet effet une liste de fournisseurs d’accès réseau non
exhaustive, à titre indicatif.
• Le dispositif supplémentaire de token ou de biométrie est fourni par
l’hébergeur après retour du contrat d’abonnement, par envoi à sa charge au
professionnel de santé.
Il doit être restitué à la fin du contrat sous huit jours ouvrés ou sera facturé
200 € HT
Ce dispositif est sous la responsabilité du professionnel de santé, et celui-ci
doit informer l’hébergeur en cas de perte ou de vol. Son remplacement

27
entraînera une facturation supplémentaire, et ne dispensera en aucun cas le
professionnel de santé de le restituer en fin de contrat.
Les évolutions technologiques :
• Les obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt
des données de santé à caractère personnel en cas de modifications ou
d’évolutions techniques introduites par lui :
L’hébergeur assure une veille technologique pour garantir le respect de l’état
de l’art.
L’hébergeur se réserve le droit de faire évoluer son infrastructure
informatique, sans altérer le service tel qu'il existe au moment de la
souscription, afin de garantir la qualité, la performance et la sécurité des
services délivrés. Il mettra tout en œuvre pour que ces évolutions aient le
minimum d’impacts pour le client, notamment en matière de disponibilité du
service d’intégrité des données sauvegardées.
L’hébergeur met en œuvre des moyens garantissant la pérennité des données
en cas d’évolution des systèmes
De plus, l’hébergeur a défini une procédure d’alerte vers la personne à
l’origine du dépôt des données de santé en cas d’évolution des systèmes.
La sous-traitance :
• Une information sur les conditions de recours à d’éventuels prestataires
techniques externes et les engagements de l’hébergeur pour que ce recours
assure un niveau équivalent de garantie au regard des obligations pesant sur
l’activité d’hébergement ;
Les sous-traitants qui ne participent pas directement à l’activité d’hébergement
et ne contribuent pas à la sécurité informatique ou physique des données ne
seront pas déclarés.
A ce jour, aucun sous-traitant n’intervient dans les services proposés.
Plans de reprises :
• Une information sur les garanties permettant de couvrir toute défaillance
éventuelle de l’hébergeur : PRA détaillé dans les SLA.
Les audits internes :
• L’hébergeur s’engage à réaliser un audit interne d’auto-évaluation tous les
ans. Le résultat de cet audit pourra être communiqué sur demande motivée du

28
La gestion des incidents :
• L’hébergeur utilise la méthodologie EBIOS (qui est conforme à la norme ISO
27005) pour la gestion des risques, comme recommandé par le référentiel
général de sécurité (v1.0) qui constitue une référence utile pour les opérateurs
privés.
• L’hébergeur s’engage à signaler les incidents graves au professionnel de
santé.
Les incidents concernant l’altération des données ou la divulgation non
autorisée des données personnelles de santé sont signalés au professionnel
de santé, à l’autorité de contrôle (CNIL), voire au patient.
La gestion des incidents est conforme à l’agrément de l’ASIP.
Conditions de restitution des données :
• L’hébergeur s’engage sur les prestations suivantes à la fin de l’hébergement :
Lorsqu’il est mis fin au contrat, l’hébergeur restitue les données qui lui ont été
confiées, sans en garder copie, au professionnel, à l’établissement ou à la
personne concernée ayant contracté avec lui.
L’hébergeur confirme que les données peuvent être restituées à tout moment,
sur demande du professionnel de santé, dans un format standard et ouvert,
gage de leur intégration future dans d’autres applications.
Le professionnel est informé par courriel de la mise à disposition des données
et de ses conditions de récupération, et il est responsable de leur
récupération.
Délais : Sous 48 heures, après réception effective de la dénonciation du
contrat, pour une durée de 10 jours.
Format : format natif du dépôt, crypté.
Interface : Fichiers mis à disposition via un site FTP sécurisé (FTPS avec
cryptage SSL/TLS)
Lorsqu’il est mis fin au contrat, l’hébergeur efface les données après
restitution.
L’effacement des données - données client et données client dérivées - en fin
de contrat sera complet et sécurisé : les données seront réellement effacées
et il ne subsistera pas de copies stockées.
La destruction physique sera utilisée.
Les données concernées sont les données en ligne (on-line) ou hors ligne
(offline), et les données sauvegardées (souvent en plusieurs versions) ou
archivées (parfois en plusieurs versions).

30
VI.B Indicateurs
• Service IaaS: La supervision et le monitoring des machines virtuelles et
de l’infrastructure sont mis à disposition du client.
o Charge CPU et RAM, HDD I/O, trafic réseau.
o Historique d’utilisation des équipements.
o Cet outil est conçu par l’hébergeur sur une base Open Monitoring
Distribution (basé sur Nagios et intégrant des outils supplémentaires).
• Services SaaS : monitoring de la performance des applications (marque
blanche de la solution de supervision Viadéis).
o “Météo”, rapport sur la disponibilité, consommation.
• Service SaaS de stockage : traçabilité et historique des accès sur le site web
de l’hébergeur.
VI.C Suivis
• Audit de sécurité :
Le fournisseur s’engage à être contrôlé en auto-évaluation sous forme d’audit
tous les ans.
Le résultat de cet audit pourra être communiqué sur demande au
• Fournitures de logs :
A la demande du professionnel de santé, sous forme de courriel, concernant
un accident précis ou une période de temps :
Début d’incident - Procédure utilisée par le fournisseur pour la résolution de
l’incident - fin de l’incident. Confirmation de résolution.
Un bulletin mensuel est à la disposition des professionnels de santé en en
faisant la demande spécifique, par courriel.
Il comporte un historique des incidents sur la période, le nombre et la
description des incidents résolus, le nombre et la description des incidents
restant à traiter.

31
VI.D Pénalités
• Mode IaaS :
En cas de défaillance du serveur instancié, sur une période excédant 15
mn, remboursement de l’abonnement du serveur host sur la prochaine
facture, sur la base du prix mensuel.
Pour bénéficier des pénalités en cas de non-respect des SLA, il est
indispensable d’avoir au moins deux serveurs hosts dans le Cloud proposé,
et d’avoir ouvert un ticket incident.
En cas de défaillance de l’accès au stockage, remboursement de 15% du prix
du stockage par tranche de 10 minutes d’indisponibilité, sur la base du prix
mensuel, dans la limite de 100% de l’abonnement souscrit.
En cas de défaillance de la connectivité à internet de l’infrastructure de
l’hébergeur, excepté en cas de maintenance planifiée pour laquelle les clients
seront avertis, remboursement de 5% du montant total de la prochaine facture
mensuelle, par heure d’indisponibilité dans la limite de 100% du montant total
de la facture.
• Mode SaaS :
En cas d’indisponibilité du service, remboursement de 15% du montant de
l’abonnement mensuel par tranche de 10 minutes d’indisponibilité, dans la
limite de 100% de l’abonnement souscrit.
Les engagements mentionnés ne s’appliquent pas dans les cas suivants :
Problème de trafic internet, hors connectivité de l’infrastructure de l’hébergeur :
ralentissement, congestion et indisponibilité.
Dysfonctionnements dus aux comportements des postes clients, notamment lors
d’attaques de sécurité.
Actions inappropriées ou inactions des clients.
Cas de force majeure.

32
Conclusion
La solution de cloud computing SaaS proposée pour le RSS, le service SaaS de
sauvegarde de données de santé, et le service IaaS, comporte un risque résiduel
acceptable et permet une amélioration continue de la sécurité sur le plan
opérationnel, fonctionnel et organisationnel.
Elle offre aux professionnels de santé l’élasticité des services et ressources, ainsi
que le monitoring associé.
Les professionnels de santé sont responsables des données de santé mais peuvent
confier ces données et la gestion de leur sécurité à une structure qualifiée et
spécialisée, avec les bénéfices de la surveillance continue, de la gestion des
incidents et des vulnérabilités en temps réel, de la réactivité immédiate.
Le fournisseur de la solution implémente le cercle vertueux du Système de
Management de la Sécurité de l'Information, alimenté par la mutualisation des
services propre au cloud computing, et offre une sécurité meilleure que celle que le
professionnel de santé peut mettre en œuvre par ses propres moyens.

33
Glossaire
ASIP Agence nationale des Systèmes d’Information Partagés de santé,
L’ASIP Santé est un groupement d’intérêt public en charge du
développement des systèmes d’information partagés dans les
domaines de la santé et du secteur médico-social
BAL Boite Aux Lettres
CNIL Commission Nationale de l'Informatique et des Libertés
Autorité administrative indépendante française chargée de veiller à ce
que l’informatique soit au service du citoyen et qu’elle ne porte atteinte
ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni
aux libertés individuelles ou publique
Fibre
Channel
Protocole défini par la norme ANSI X3T11 permettant une connexion
de l’ordre du gigabit par secondes entre un ordinateur et son système
de stockage ou d'autre type de périphérique
FSE Feuille de Soin Electronique
HADS Hébergeur Agréé de Données de Santé
HBA Host Bus Adapter (contrôleur hôte de bus) est une carte d'extension
utilisée pour connecter un hôte à un système de stockage
IaaS Infrastructure as a Service
Cette offre concerne la mise à disposition de ressources informatiques
(puissance CPU, mémoire, stockage etc.). Le modèle IaaS permet au
client de disposer de ressources externalisées virtualisées. Celui-ci
garde le contrôle sur le système d’exploitation (OS), le stockage, les
applications déployées ainsi que sur certains composants réseau
(pare-feu, par exemple).
ISP Internet Service Provider – Fournisseur de services internet
LUN
masking
Action de présenter ou non un LUN (Logical Unit Number ou identifiant
d’un espace de stockage dans un SAN) à un serveur.
NIC Network Interface Card - Carte réseau standard
PCA/BCP Plan de Continuité d’Activité/Business Continuity Plan assure l’activité
sans interruption du service et la disponibilité des informations quels
que soient les problèmes rencontrés
PRA/DRP Plan de Reprise d’Activité/Disaster Recovery Plan décrit l’ensemble de
procédures qui doivent être déclenchées à la suite d’un incident majeur
ayant entraîné une interruption de l’activité, pour la reconstruction de
l’infrastructure et le redémarrage des applications du SI

34
RAID Redundant Array of Independent Disks désigne les techniques
permettant de répartir des données sur plusieurs disques durs afin
d'améliorer soit les performances, soit la sécurité ou la tolérance aux
pannes de l'ensemble du ou des systèmes.
RPO Recovery Point Objectif désigne la durée maximale qu’il est acceptable
de perdre les Données
RTO Recovery Time Objectif est la durée maximale d’interruption acceptable
en cas de sinistre
SaaS Software as a Service: cette offre concerne la mise à disposition
d’applications d’entreprise. Le prestataire offre une fonction
opérationnelle et gère de façon transparente pour l’utilisateur
l’ensemble des aspects techniques requérant des compétences
informatiques. Le client garde la possibilité d’effectuer quelques
paramétrages de l’application
SAN
Zoning
Le SAN zoning permet de créer un lien logique entre un serveur et une
ressource au sein d’un SAN (Storage Area Network). L'utilisation du
zoning permet de garantir de bonnes performances en évitant les
risques de collisions de frames.
SLA Service Level Agreement - Accord / garantie du niveau de service
SPOF Single Point of Failure - Point unique de défaillance
SSL Secure Sockets Layer: protocole de sécurisation des échanges sur
Internet.
Token Solution d’authentification forte pour prouver une identité par voie
électronique. Solution avec mot de passe statique, mot de passe
dynamique synchronisé, mot de passe asynchrone, challenge/réponse
(ou demande d'accès/Réponse)
A titre d’exemple, ils peuvent se matérialiser sous la forme d’une
calculette permettant d'entrer un code PIN, ou sous forme de clé USB.
vCPU Virtual Central Processing Unit: cœur d’un CPU physique dédié à une
machine virtuelle
VLAN Virtual Local Area Network: technologie permettant la séparation d’un
réseau physique et plusieurs réseaux logiques
VPN Virtual Private Network: connexion réseau privée et sécurisée à travers
Internet.

Project Cloud / Sécurité - Analyse de risques

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Project Cloud / Sécurité - Analyse de risques

Similaire à Project Cloud / Sécurité - Analyse de risques (20)

Project Cloud / Sécurité - Analyse de risques