Comment la plateforme Health Data Hub a pensé sa cybersécurité

Le Health Data Hub est une plateforme de partage des données de santé imaginée dans la stratégie nationale pour l’intelligence artificielle. “Le fil conducteur est bien de faciliter ce partage et simplifier l’accès aux données de santé de façon à mettre en place une plateforme qui puisse faire de la recherche sur ces données, dans un environnement “up to date” (à jour) et en garantissant la sécurité des données”, a rappelé Fabien Malbranque, RSSI du Health Data Hub depuis mai 2022, en préambule de son intervention lors des 2e Rencontres de l’Apssis.

Segmentation

Le HDH est par nature, un espace de partage, donc ouvert à d’autres entités. Ce qui suppose de mettre en place plusieurs garanties de sécurité, pour s’assurer que les données de santé partagées ne se retrouvent pas dans la nature. “Les utilisateurs des équipes projet accèdent à leur environnement de recherche au travers d’une authentification forte et multi-facteurs (MFA), après une analyse de l’état du poste de travail sur lequel il se connecte, au travers d’une machine virtuelle qui nous permet d’avoir une rupture protocolaire entre le poste de travail et l’environnement de recherche”, souligne Fabien Malbranque.

Cette segmentation entre les différents espaces de la plateforme vise à cloisonner les données et à contrôler leur usage. “L’utilisateur ne peut pas sortir de données ou récupérer des données directement sur son poste de travail. La seule chose à laquelle il a droit, c’est de faire des copier-coller de son poste de travail vers son espace de recherche, mais jamais l’inverse, précise encore le RSSI du HDH. Tout ce qui sort de l’espace de recherche passe d’abord par un contrôle pour qu’on s’assure que les données issues des résultats de recherche ne sont pas utilisées à des fins de réidentification des personnes. Nous avons fait une segmentation de façon à n’avoir jamais une personne qui soit capable de trier la donnée, de la transférer dans un espace de recherche et de la ressortir de l’espace de recherche pour la mettre à disposition vers l’extérieur.”

Chiffrement

De l’aveu même de Fabien Malbranque, la stratégie du HDH a été de “faire de la segmentation et du chiffrement à tous les étages”, comme en témoigne le schéma de la plateforme ci-dessous.

Le HDH est une plateforme technologique qui permet de récupérer et stocker les données. Elle comporte un deuxième étage, qui est un espace de préparation indépendant de l’étage de stockage, “avec une indépendance logique forte qui nous permet de garantir que si on a un problème de sécurité sur un espace de préparation, on n’aura pas de remontées de ce problème sur notre espace de stockage primaire”, insiste le RSSI. Autre couche de sécurité : l’ensemble des données stockées sur l’espace de stockage primaire sont complètement chiffrées. “C’est-à-dire qu’à chaque fois que l’on veut y avoir accès, ce n’est pas un opérateur qui déchiffre la donnée mais c’est un robot qui déchiffre la donnée. Il fait le travail qu’on lui demande qui est de prendre une partie des données dans l’espace de stockage pour les mettre à disposition dans l’espace de préparation. Il n’y a pas d’intervention humaine.”

Quant aux données traitées, le RSSI rappelle que le HDH “ne traite jamais de données nominatives, on ne traite que de données pseudonymisées”. Ces données sont soit issues du SNDS (confiées par la CNAM), soit issues des porteurs de projets. Dans tous les cas, les données sont fortement pseudonymisées. “Nous ne reprenons pas le pseudonyme Cnam. Nous recalculons un pseudonyme HDH quand les données nous sont confiées. Ensuite, nous recalculons un pseudonyme spécifique pour chaque projet.”

Une double barrière de firewall

Dans l’espace de préparation, la plateforme autorise un minimum de collaboratif mais garde la maîtrise des flux entrants et sortants. “Les utilisateurs mettent à disposition les données pour les espaces projets. Ces espaces sont rendus indépendants de l’espace de préparation, avec une segmentation au travers de rupture de flux, de firewall, qui ne s’appuient pas sur les technologies de notre hébergeur (Azure de Microsoft, ndlr). Nous avons mis en place une double barrière de firewall différente de la technologie de notre hébergeur, de façon à garder la maîtrise de notre sécurité sur ce plan là, explique Fabien Malbranque. De même, sur l’espace de stockage de préparation, le stockage est chiffré et on ne met les données à disposition qu’une fois qu’elles sont conformes à l’autorisation Cnil du projet dans l’espace projet.”

Enfin, le HDH veille à faire du “doc management” (gestion des documents) avec du scellement des traces (signature/marquage électronique), ainsi qu’une externalisation des traces pour qu’elles aient une valeur probante. “On récupère l’ensemble des traces d’infrastructure et l’ensemble des traces métiers, qu’on externalise à des fins de valeur probante, avec une durée de conservation d’un an.”

Cette segmentation technique s’accompagne également d’une segmentation organisationnelle. “Au niveau de la mise à disposition des données dans les espaces projet, nous n’avons pas le même référent data qui travaille sur les données et les met à disposition de l’opérateur qui permet de transférer ces données pour alimenter l’espace projet que le référent data qui permet de vérifier que les exports de l’espace projet sont conformes à la demande de recherche.”

Homologation des projets

Pour obtenir le droit d’utiliser un espace projet sur la plateforme HDH, le projet de recherche doit passer par le comité d’éthique du HDH, le CESREES, et une autorisation Cnil. “Une fois l’autorisation Cnil obtenue, nous lui mettons à disposition, dans les conditions d’autorisation Cnil, l’ensemble des données auxquelles il a droit pour réaliser ses recherches, précise Fabien Malbranque. Sur la partie cybersécurité, cela signifie que les projets de recherche doivent s’engager dans un processus d’homologation de leur projet avant de déposer leur demande à la Cnil.”

Tous ces projets doivent traiter les risques résiduels dans leur homologation, au travers de la sécurité de leur poste de travail et la sécurité des utilisateurs qu’ils déclarent au HDH. En outre, les projets mettant des cohortes de données à disposition de la plateforme doivent s’assurer, en amont, de la sécurité du traitement des données (chez eux, donc). “Si l’extract n’est pas sécurisé sur le poste du chercheur ou si son poste a été compromis, on perd les données du chercheur. Sur la partie homologation du projet de recherche, il s’agit bien de prendre le projet dans son ensemble et pas seulement les quelques risques résiduels qui sont identifiés par le HDH.”

Réversibilité

Le HDH insiste sur la réversibilité de sa plateforme. “Cela signifie que nous sommes capables de prendre la plateforme telle qu’elle est aujourd’hui déployée chez Microsoft pour la déployer chez un autre acteur, explique Fabien Malbranque, modulo la nécessité chez l’autre acteur de développer tous les services qui sont consommés en mode SaaS chez Microsoft et qu’il faudrait reconstruire ailleurs.”

L’épineuse question du cloud

Depuis son lancement en 2019, la plateforme HDH est au cœur d’un débat sur le choix de son fournisseur de technologie cloud (Azure de Microsoft). “Il y a toujours cette histoire de souveraineté qui plane. Nous sommes souvent pointés du doigt sur l’usage de solutions issues de Gafam. Il faut se remettre dans le contexte de 2019 : nous avons utilisé les solutions qui étaient disponibles dans les catalogues habituels (CAIH, Ugap) et nous n’avions pas, a priori pour respecter le droit public, à faire d’appels d’offres.”

La souveraineté de la plateforme cristallise encore les débats aujourd’hui. Alors que l’ancien ministre de la Santé, Olivier Véran, avait assuré que le HDH changerait d’hébergeur cloud d’ici la fin de l’année 2022, la migration de la plateforme ne devrait pas se faire avant 2025, date à laquelle la solution Bleu, portée par Orange et Capgemini devrait (enfin) être opérationnelle. “Nous avions un projet souverain qui allait proposer les technologies que l’on utilise aujourd’hui. Nous attendions que ce projet arrive à maturité pour pouvoir réaliser la réversibilité et le transfert de nos actifs. Malheureusement, on n’est pas sur la timeline annoncée.”

Outre la question du timing, celle du coût explique également la difficulté du HDH à s’équiper en hébergeur(s) français labellisé(s) SecNumCloud. “Actuellement, le code des marchés publics m’impose de prendre la solution la plus adaptée à mon besoin, au coût le plus intéressant pour ma structure. Or, avec un hébergement SecNumCloud, j’ai un marqueur (de prix) qui est entre + 30 et +50%”.

Nouvelle homologation en 2023

D’ici là, la plateforme HDH travaille actuellement au renouvellement de son homologation (la première portait sur la période 2019-2022), prévue pour 2023. “Je vois l’Anssi tous les trimestres sur le suivi de mon plan d’action issu de l’homologation. Nous avons réalisé un dossier avec une analyse de risque, un audit de code, un test d’intrusion, éventuellement un audit d’organisation.”

Les plans de suivi de l’homologation contenaient 124 actions en 2020. Il y en a autant aujourd’hui, avec un enjeu supplémentaire : l’augmentation du niveau de la menace cyber. “Avec la guerre en Ukraine, on a transformé internet en théâtre d’opérations. On voit sur nos logs des tentatives de connexions de droite et de gauche, probablement pour regarder ou tester notre niveau de sécurité, a dévoilé Fabien Malbranque. Le niveau de menace évolue ce qui va naturellement faire évoluer notre posture de sécurité.” Le HDH a ainsi lancé cette année un marché public pour le déploiement d’un SOC (Centre Opérationnel de Sécurité), clos cet été et en cours d’examen.

En parallèle, le HDH a déposé en septembre une nouvelle demande d’autorisation d’accès à la base du SNDS auprès de la Cnil, qui devrait apporter sa réponse ces prochaines semaines.