Entre cloud et installation en propre, l'offre pour l'hébergement de données de santé se diversifie

Il ne se passe pas une semaine sans qu’un acteur annonce avoir obtenu le certificat d’hébergeur de données de santé (HDS). Quinze mois après la publication au journal officiel du décret qui entérine le passage de l’agrément au certificat, une vingtaine de prestataires ont déjà décroché le précieux sésame. Dans cette short-list, on retrouve principalement les acteurs traditionnels de l’infogérance (Claranet, Tessi, Cheops) face – c’est la grande nouveauté – à des fournisseurs de cloud français (OVH, Orange) ou américains (Amazon Web services, Microsoft Azure).

La centaine de prestataires agréés HDS ne sont toutefois pas hors course. Leur agrément reste valide jusqu’à son échéance, soit trois ans maximum. Et si leur agrément se terminait avant le 31 mars 2019, il voyait sa durée automatiquement prolongée de six mois. Pour autant, la marche à franchir risque d’être haute pour un certain nombre de “petits” prestataires.

S’appuyant principalement sur l’ISO 27 001 consacrée au management de la sécurité de l’information mais aussi sur les normes ISO 20 000 (système de management des services IT) et ISO 27 018 (sécurité de l’information dans le cloud), le référentiel de certification apporte un niveau d’exigence autrement plus élevé, évalué par un cabinet indépendant. “La certification assez onéreuse à obtenir et à maintenir dans la durée. Cela suppose une organisation structurée derrière, poursuit Laurent Guillé, manager cybersécurité et confiance numérique chez Wavestone, qui anticipe une consolidation du marché.

Trois scénarii pour les établissements hospitaliers

Le passage à la certification arrive dans une période particulièrement propice. Outre l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) le 31 mai 2018, le programme Hop’En (Hôpital numérique ouvert sur son environnement) qui vise à harmoniser les services numériques des établissements de santé sur un même territoire incite à mutualiser leurs ressources. Il en va de même de la constitution des groupements hospitaliers de territoire (GHT). 135 GHT sont invités à construire un système d’information (SI) convergent et notamment un dossier patient commun.

En termes d’hébergement, ces GHT et certains grands établissements ont la masse critique, les compétences et le budget pour gérer et maintenir une infrastructure en propre (on-premise, NDLR). Ce qui suppose qu’au moins un établissement du GHT – à savoir l’établissement support qui accueille le SI convergent – soit certifié. Pour l’heure, seul le groupement d’intérêt public (GIP) MiPih (Midi Picardie Informatique Hospitalière) a obtenu la certification HDS et les établissements de santé se font rares parmi les organisations agréées hormis l’APHP ou le CHU de Nantes. Les alternatives consistent à faire infogérer leur infrastructure par un tiers ou bien de l’externaliser totalement.

Selon le dernier point d’étape remontant à août 2018 de l’Asip Santé sur la convergence des systèmes d’information des GHT, 19 % des groupements hospitaliers qui avaient arrêté un choix s’orientaient vers une internalisation tandis que 34 % menaient un projet d’externalisation.

Un effet d’échelle pour le choix de la solution

Pour les établissements de moindre importance, l’effet de taille jouera dans la volonté d’aller ou non sur la voie de l’externalisation. “La marche est plus facile à franchir pour les structures de moins de 100 lits pour qui maintenir des applications suppose d’avoir les compétences ad hoc, notamment en cybersécurité”, estime Laurent Guillé. À leur intention, les infogéreurs traditionnel multiplient les offres de cloud privé (infrastructure dédiée au sein de leur datacenter) ou hybride (débord sur le cloud public).

Le passage direct au cloud public prôné par les nouveaux entrants OVH, AWS ou Azure est encore bute à un certain nombre de freins. Il s’agit tout d’abord d’un choix radical qui engage dans la durée. “La réversibilité des données est prévue par la certification HDS mais faire marche arrière s’avère particulièrement coûteux et difficile”, prévient Laurent Guillé.

La localisation des données est un autre sujet d’inquiétude. En dépit de l’ouverture par AWS et Microsoft Azure de datacenters en France, le Cloud Act (Clarifying Lawful Overseas Use of Data Act), promulgué outre-Atlantique, fait figure de repoussoir. Pour rappel, il contraint les fournisseurs américains à divulguer des informations personnelles sur leurs utilisateurs dans le cadre d’enquêtes, même lorsque les données ne sont pas stockées aux États-Unis. Enfin, se pose la question de l’e-réputation d’un établissement qui confierait ses données à Amazon ou Microsoft.

En dépit de tous ces freins, la tendance vers le cloud semble se confirmer dans la santé. Laurent Guillé imagine un palier intermédiaire où un établissement serait certifié sur les couches basses – les activités 1,2 3 – et confierait les couches hautes à un provider. L’éligibilité au cloud peut aussi se faire en fonction de la sensibilité et de la criticité de la donnée ou de l’application. “Pour des équipements médicaux sensibles comme un IRM, le pilotage informatique restera local alors que le dossier patient ou le circuit du médicament peuvent aller dans le cloud. Par ailleurs, on peut imaginer un cloud semi-public au sien d’un GHT.”

Essentiel : Le cloud souverain

Se tourner vers des offres issues de partenariats entre infogéreurs et cloud providers

Directeur des offres Claranet e-Santé, Christophe Jodry mise sur la complémentarité entre les acteurs traditionnels de l’hébergement et de l’infogérance et les cloud providers, sa société ayant d’ailleurs noué des partenariats avec OVH, AWS et Microsoft Azure. Les premiers restent des “artisans” à même de proposer un support sur mesure 24/7 tandis qu'”un cloud provider n’interviendra pas à 3 heures du matin débloquer un problème spécifique à un compte”. En revanche, un fournisseur de cloud apporte une puissance de calcul infinie et une plateforme “élastique” à même d’absorber des pics d’activité.

Un cloud provider permet, par ailleurs, de développer des services innovants dans la santé prédictive ou le suivi thérapeutique en mettant à disposition des établissements de santé des briques prêts à l’emploi dans le domaine de l’intelligence artificielle (IA), de la blockchain ou de l’Internet des objets (IoT). Les Hospices Civils de Lyon travaillent avec Microsoft pour expérimenter des cas d’usage liés à l’IA (lire encadré).

“Un établissement qui veut expérimenter un projet d’IA peut louer des machines virtuelles quelques heures ou quelques mois, en payant à l’usage, sans engagement, note Christophe Jodry. Ce n’est pas possible chez un hébergeur traditionnel de commissionner et décommissionner à la volée. L’engagement se fait sur la durée, souvent sur plusieurs année”.

Head of technology chez AWS, Stephan Hadinger distingue également les métiers d’hébergeur et d’infogéreur. “AWS ne fait pas de l’infogérance mais s’appuie pour cette activité sur un réseau de partenaires infogéreurs comme Coreye, Claranet et Euris.” Pour lui, l’appétit du marché français pour le cloud est “énorme”. Et s’il est encore trop tôt pour évoquer les projets en cours de migration des établissements de santé, le géant du cloud évoque des références chez les mutualistes (La Mutuelle Générale) ou les industriels. Air Liquide Healthcare a retenu l’offre Cloud Santé du tandem Euris et AWS pour son parcours de données de santé sécurisé.

Selon Stephan Hadinger, les données d’imagerie médicale ont aussi vocation à aller dans le cloud compte tenu de leur “poids”. “Ces images sont au format “zéro perte”, il n’y a pas de compression qui pourrait générer un artefact faussant le diagnostic. Philips Healthcare produit ainsi 6 Po (pétaoctets) de données supplémentaires par an.” Autre avantage du cloud : la possibilité de chiffrer l’ensemble de données de santé en un clic. “Avec une infrastructure physique, cela devient vite un projet complexe.”

AWS séduit aussi des organismes de recherche sur la génomique comme Illumina pour le séquençage ADN. “Pour échanger, les chercheurs devaient s’envoyer des disques durs par La Poste. On fait mieux en termes de rapidité et de sécurité !” L’institut de recherche contre le cancer de Londres utilise la puissance de calcul du cloud d’AWS pour mesurer la dose de radiation qui diffère selon les patients. Autre référence : la startup française SkinVision spécialisée dans la suspicion de mélanomes par l’analyse des grains de beauté.

Enfin, Stephan Hadinger met en avant la profondeur de l’offre. “117 services d’AWS sont éligibles HDS, soit plus de 70 % de notre catalogue. Il n’y a pas de surcoût ou de démarche supplémentaire à faire, la certification fait partie de l’offre.” AWS est aussi conforme à la norme HIPAA (Health Insurance Portability and Accountability Act) indispensable pour une société qui se déploie en Amérique du Nord.

Acteur franco-français, Tessi a, lui, noué un partenariat avec Microsoft Azure pour proposer du cloud hybride en plus de son offre de cloud privé. ” Les établissements de santé restent frileux pour aller vers le cloud public, observe Thierry Caye, directeur du pôle opérations et technologies. Ils nous écoutent mais peu sont prêts à passer le cap. Après avoir opté pour le SaaS pour leurs applications génériques, ils devraient toutefois finir par sauter le pas. Nous n’en sommes qu’au début du début – beaucoup d’établissements ont encore leur propre infrastructure on-premise – mais dans un an, la carte aura changé”, promet-il.

Différents modes de tarification

Le mode de tarification pourrait contribuer à faire bouger les ligne. Alors que les infogéreurs proposent, sur devis, des contrats pluriannuels, les fournisseurs de cloud public facturent à l’usage, parfois à la seconde près. Leurs tarifs, affichés en ligne, dépendent des services consommés (base de données, puissance de calcul, service de machine learning…).”Un établissement de santé peut ainsi décider que la donnée active ne soit accessible que le jour pour ne pas payer inutilement un service 24/7″, détaille Thierry Caye.

Pour faire encore baisser les coûts, le prestataire met en avant sa solution d’archivage orientée big data, Tessi Data Content, qui permet de gérer le cycle de données selon des critères préétablies. “Les données peu accédées seront déversées dans un système d’archivage à froid, moins coûteux que des disques SSD à mémoire flash”, poursuit-il.

Tessi qui dispose d’une salle privative dans un datacenter de bordeaux et un datacenter en propre entend lui-même constituer un cloud européen. Dans ce but, il a racheté il y a un an la société madrilène Todo en Cloud, propriétaire de deux datacenters. Dans ce contexte, la certification HDS peut être vue comme un atout concurrentiel pour les hébergeurs français tentés par l’international. Elle a, en effet, vocation à servir de modèle pour le reste de l’Europe et favoriser l’harmonisation de la réglementation entre les Etats-membres de l’UE.

Les 6 activités couvertes par la certification HDS

L’Asip délivre deux types de certificats qui couvrent six activités :

– un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle :

1. la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;

2. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;

– un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée :

3. la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;

4. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;

5. l’administration et l’exploitation du système d’information contenant les données de santé (Début avril, l’Asip annonçait son intention de retirer l’activité 5 de la certification pour donner lieu à un référentiel à part) ;

6. la sauvegarde de données de santé.

Les Hospices civils de Lyon font appel à l’IA de Microsoft Azure

Avec 14 établissements hospitaliers, 280 000 passages aux urgences et plus d’un million de consultations par an, les Hospices Civils de Lyon constituent le deuxième groupe hospitalier français. Les HCL sont aussi à l’origine d’une solution de dossier patient, baptisée Easily. Lors du dernier salon Paris Healthcare Week, ils ont annoncé que cette solution sera hébergée sur les datacenters français de Microsoft Azure certifiés HDS. Les clients auront toutefois la possibilité que la solution reste infogérée par Hopsis, un GIE regroupant une centaine d’établissements de santé et chargé de la distribution d’Easily. Le partenariat entre HCL et Microsoft ne s’arrête pas là. Les Hospices civils de Lyon veulent entraîner des modèles d’intelligence artificielle dans le cloud via le service Azure Machine Learning afin d’automatiser ou optimiser certains processus du dossier patient. Plusieurs expérimentations sont en cours. L’une consiste à identifier les caractéristiques communes à une cohorte de patients. Autres pistes : faciliter le remplissage du dossier patient et doter le praticien d’une aide à la décision.