Le Health Data Hub cherche son centre opérationnel de sécurité
Au cœur du Health Data Hub, la centralisation des données de santé nécessite une sécurité informatique irréprochable. A ce titre, un appel d'offres a été lancé pour déployer un centre opérationnel de sécurité chargé d'analyser les menaces et d'identifier les mesures de sécurité à mettre en oeuvre. Le marché a une durée de trois ans.
Le Health Data Hub, une infrastructure dédiée à la centralisation des données de santé des Français, cherche un prestataire pour 3 ans afin de déployer un centre opérationnel de sécurité (Security operations center, SOC). L'annonce du marché public, repéré par le journaliste Emile Marzolf, a été publiée le 12 juin. La valeur du marché n'est pas précisée sur la fiche.
Identifier les menaces
Le SOC du Health Data Hub devra "opérer la sécurité opérationnelle" de la plateforme sur six axes : analyse de la menace, identification des vulnérabilités, recherche et qualification des attaques, définition des mesures de réponse aux attaques, application des mesures correctrices urgentes et fourniture d'indicateurs de pilotage de la sécurité.
Son objectif principal sera d'apporter "toute la visibilité nécessaire à la détection des scénarios d'attaque issus de l'analyse de risques Ebios Rm (méthode qui permet d'apprécier les risques numériques et d'identifier les mesures de sécurité à mettre en œuvre pour les maîtriser, ndlr)" et de "faire évoluer la posture de détection en fonction de l'évolution de la menace".
Le HDH, un trésor pour des hackers
La sécurisation du Health Data Hub est particulièrement importante puisqu'il centralisera à terme une quantité astronomique de données de santé. En effet, il doit réunir les données du système national des données de santé (SNDS), c'est-à-dire les données de l'Assurance maladie, des hôpitaux, liées au handicap et les causes médicales de décès. Autrement dit, un trésor pour des cybercriminels car les données de santé se monnayent facilement et chères.
Une fuite de données au sein du Health Data Hub mettrait de l'huile sur le feu étant donné le nombre de controverses déjà en cours. Au coeur du litige : le choix de l'hébergeur de la plateforme. C'est Microsoft Azure qui a été sélectionné par le gouvernement, "sans mise en concurrence (...) au motif que seul Microsoft aurait les capacités technologiques de fournir une telle infrastructure", d'après l'association Anticor qui a saisi le Parquet national financier (PNF).
Au-delà de l'aspect purement procédural, l'invalidation du Privacy Shield – ce texte autorisant les transferts de données outre-Atlantique en reconnaissant que le droit américain offrait les mêmes garanties que le droite européen – a rendu le choix de Microsoft contestable, d'après plusieurs associations et collectifs. Une crainte rejetée par le Conseil d'Etat, révélant l'existence d'un avenant obligeant l'entreprise américaine à recevoir l'aval du Health Data Hub pour tout transfert de données "en dehors de la zone géographique spécifiée".
SUR LE MÊME SUJET
Le Health Data Hub cherche son centre opérationnel de sécurité
Tous les champs sont obligatoires
0Commentaire
Réagir
