Accueil > Financement et politiques publiques > Alain Issarni (NumSpot) : “Notre ambition est de bâtir des fonctionnalités évoluées qualifiées SecNumCloud” Alain Issarni (NumSpot) : “Notre ambition est de bâtir des fonctionnalités évoluées qualifiées SecNumCloud” Le volet cloud du projet de loi SREN (Sécuriser et réguler l'espace numérique) a donné lieu à de nombreuses passes d’armes autour de la définition du “cloud souverain” et du niveau de sécurité exigible pour les données de santé. Ancien DSI de la Cnam, aujourd’hui CEO du cloud NumSpot, Alain Issarni est un expert de la souveraineté des infrastructures en nuage. Il soutient l’adoption de services managés hautement sécurisés, répondant à la qualification la plus exigeante en la matière : le référentiel SecNumCloud. Regrettant l’absence de trajectoire affichée pour aller vers ce niveau de protection, il revient pour mind Health sur les nombreux enjeux que sous-tend le ralliement à cette norme : loi SREN, certification HDS, EUCS, Health Data Hub, immunité aux lois extraterritoriales,…. Par Romain Bonfillon. Publié le 29 janvier 2024 à 22h36 - Mis à jour le 29 janvier 2024 à 16h45 Ressources Vous vous êtes exprimé récemment sur la protection des données de santé. Les évolutions prévues de cette norme HDS sont-elles de nature à vous rassurer ? La Délégation au numérique en santé a en effet notifié le 5 décembre dernier à la Commission européenne un projet d’arrêté qui modifie les référentiels d’accréditation et de certification HDS. Le référentiel HDS, tel que proposé à date, ne va pas jusqu’à imposer une qualification SecNumCloud. Il ajoute l’obligation d’avoir les données localisées en Europe, et n’impose rien à date concernant l’immunité aux lois extraterritoriales. Il ne durcit pas non plus le référentiel en vue de le mettre au niveau SecNumCloud. Pour moi, c’est insuffisant. Les données de santé font partie des données les plus sensibles les patients sont particulièrement attentifs à la protection de leur données de santé. Il est surprenant de ne pas faire profiter ces données de santé du plus haut niveau de protection existant (SecNumCloud). Je peux comprendre que ce changement de règle ne peut pas se faire brutalement mais il faut donner une trajectoire pour pouvoir viser ce niveau de protection en informant les acteurs suffisamment à l’avance. Là, nous allons perdre du temps sur le chemin de l’adoption du SecNumcCoud. NumSpot propose des services qualifiés SecNumCloud sur la partie infrastructure (IaaS) pas encore sur les service managés (PaaS) Ce processus de qualification est-il compliqué ? Tout d’abord nous avons la chance de pouvoir bénéficier des services d’Outscale qui est qualifié Secnumcloud (version 3.2) rappelons qu’à date, il n’existe aucun fournisseur de cloud proposant des offres managées (PaaS) qualifiées SecNumCloud. L’objectif de NumSpot est de bâtir au-dessus de l’offre d’Outscale, cloud de Dassault Systèmes, ces offres managées.. Nous prévoyons d’engager le processus de qualification au cours du premier trimestre.. SNC est une doctrine qui est sortie il y a quelques années, avec des règles qui ont été données par l’Anssi, mais ces exigences ne donnent pas forcément des solutions. Une forme de jurisprudence existe aujourd’hui sur la partie IaaS et dessine un chemin, qui permet d’être assez confiant lorsqu’on vise la qualification. En revanche, sur les services managés, les exigences SecNumCloud nécessitent un travail plus approfondi avec l’ANSSI. NumSpot est depuis peu référencé sur le marché de la Centrale d’Achat de l’Informatique Hospitalière (CAIH). Qu’est-ce que ce référencement vous apporte concrètement ? Il y a quatre gros marchés que nous souhaitons adresser : le secteur public (que ce soit les administrations, les opérateurs ou les collectivités locales), la santé, les banques et assurances, les OIV/OSE (Opérateurs d’Importance Vitale et Opérateurs de Services Essentiels, ndlr). Nous pensons qu’il y a un vrai besoin en santé et nous savons que la meilleure façon de viser ce secteur dans la sphère publique est d’avoir un marché de référencement, car sinon, à chacune des opérations, l’acheteur public doit faire un appel d’offres et cela prend un temps infernal. Nous avons eu la chance d’être référencés au marché CAIH en octobre 2023, alors que l’entreprise n’existe que depuis février dernier. Cela signifie que pour ceux qui, dans la sphère hospitalière, veulent adopter une solution cloud NumSpot, il existe un support contractuel. Compte tenu de nos cibles, c’est extrêmement important. Un an après sa création, NumSpot rend compte de ses résultats et perspectives Envisagez-vous d’être référencé auprès d’autres centrales d’achat ? Oui, nous suivons de près le Resah pour être référencés lorsqu’ils auront publié le marché. De la même façon, nous souhaitons être référencés sur l’Ugap qui est la centrale d’achat “sphère publique générique”, incluant la sphère santé . NumSpot héberge l’IA générative souveraine de Docaposte. En quoi une IA générative peut-elle être souveraine et quels types d’usages en santé avez-vous imaginé ? Une IA générative doit être entraînée sur des données pour être pertinente. Si les données sont d’un niveau de confidentialité particulier, mieux vaut être hébergé “au bon endroit”. Pour la partie inférence, c’est-à-dire l’utilisation au quotidien, le sujet est le même. Nous avons présenté en octobre dernier un premier cas d’usage, construit en collaboration avec Openvalue (une filiale de Docaposte spécialisée dans l’accompagnement de projets en IA, ndlr), Aleia et LightOn. Ce POC hébergé chez NumSpot consiste à fournir, pour un patient dont le dossier médical informatisé est volumineux, un résumé pertinent généré par l’IA, afin de préparer son rendez-vous avec un professionnel de santé. Ces données-là sont d’une sensibilité extrême. Si cette IA générative n’est pas hébergée dans un endroit assez sûr, vous allez communiquer des données de santé extrêmement sensibles dans un contexte que vous ne maîtrisez pas. Il nous a donc paru pertinent d’utiliser l’IA dans un cadre et un environnement qui permet d’apporter au patient la garantie que ses données ne seront pas mal utilisées ou qu’il n’y aura pas un accès illégal aux données. La Poste présente sa nouvelle stratégie en santé Olivier Vallet, le PDG de Docaposte, déclarait, lors d’une récente conférence de presse, que NumSpot n’avait pas été créée spécialement pour le Health Data Hub (HDH), ajoutant qu’il s’agissait d’un “petit sujet” par rapport au marché que vous adressez. Ce sujet n’a-t-il pas cependant pour vous une importance stratégique ? Olivier Vallet voulait indiquer que nous voulons bien rendre service et que nous sommes attentifs à l’hébergement des données du HDH, dont l’ambition est de récupérer toutes les données du SNDS. J’ai été jusqu’au mois de février dernier et pendant plus de 7 ans, DSI de l’Assurance maladie, donc je connais bien ces enjeux. Un certain nombre de personnes, dont je fais partie, estiment que ces données méritent d’avoir un niveau de sécurisation important. S’il devait y avoir, à un moment ou à un autre, une consultation pour sortir d’un hébergement Microsoft Azure et aller vers un environnement plus souverain, NumSpot se positionnera puisque notre ambition est de bâtir des fonctionnalités évoluées qualifiées SecNumCloud. Nous pensons que nous aurions un rôle à jouer. Mais il ne nous appartient pas de décider si la consultation aura lieu dans un mois, un an deux ou trois ans. Alertés par des fournisseurs de cloud français, deux parlementaires ont envoyé en décembre dernier un courrier à la Première ministre pour l’informer d’une forme de favoritisme que pratiquerait le HDH à l’égard des hyperscalers américains. Faites-vous partie des acteurs qui se sont plaints ? Nous faisons partie des fournisseurs de cloud qui ont été consultés puisque tous les clouders qualifiés SecNumCloud l’ont été. Avec Outscale et Heva, nous avons répondu à la mission (un AAP pour le projet Emc2, visant à réaliser des correspondances entre les terminologies médicales françaises et le standard Omop, ndlr), comme l’ont fait d’autres fournisseurs SNC…et nous sommes également déçus de la manière dont cette consultation s’est déroulée. Deux parlementaires dénoncent “le tropisme persistant” entre le HDH et les hyperscalers Depuis le 12 janvier dernier, les fournisseurs de cloud Google peuvent migrer vers un autre fournisseur de cloud, en profitant d’un transfert gratuit des données. S’agit-il d’une bonne nouvelle selon vous, comme l’estime le député Philippe Latombe ? Est-ce que Numspot envisage de faire de même ? Oui, le cloud Outscale sur lequel nous nous appuyons, fait déjà de même. Tout cela relève du Data Act européen qui en fait va imposer aux fournisseurs de cloud d’interdire ce que l’on appelle les “egress fees” (frais de sortie, ndlr). Cette pratique était contestée par beaucoup d’acteurs, dont les fournisseurs de cloud français, qui n’y ont pas recours. Ce sont des obstacles à la liberté du client de récupérer ses données, pour éventuellement aller sur un autre fournisseur. Ce que vient d’annoncer Google est, certes, un peu en avance de phase par rapport aux autres hyperscalers américains, mais la suppression de ces egress fees va de toute manière s’imposer en Europe en 2025 (le Data Act européen est entré en vigueur le 11 janvier 2024, mais les dispositions de la loi commenceront à s’appliquer 20 mois plus tard, les entreprises devront donc s’y conformer d’ici le 11 septembre 2025, ndlr). Quelles évolutions réglementaires surveillerez-vous particulièrement cette année ? Tout d’abord, nous surveillerons avec beaucoup d’attention les futures évolutions du projet de loi SREN. Ce que la commission mixte paritaire va décider entre la version qui était celle du Sénat (favorable à l’adoption du SecNumCloud pour les données de santé) et celles de l’Assemblée nationale (qui l’était un peu moins). Il se dit que la commission mixte paritaire devrait avoir lieu en février. Les discussions autour de l’EUCS nous concernent également : la réglementation de sécurité européenne fait l’objet de débats entre beaucoup d’Etats, la question étant de savoir s’ils vont pouvoir s’accorder sur le fait que le plus haut niveau d’exigence de sécurité des données pourrait être aligné sur le référentiel SecNumCloud et plus particulièrement l’immunité aux lois extraterritoriales TENDANCES 2024 – Cloud et cybersécurité : des réglementations bientôt plus exigeantes ? “Cloud au centre” : une doctrine sans application concrète Dans une récente tribune, intitulée “Protection des données de santé : aller plus loin dans la sécurité avec le SecNumCloud”, Alain Issarni rappelle que la doctrine “Cloud au centre”, est venue préciser, au travers d’une nouvelle circulaire signée en mai 2023, que les données sous couvert de secret médical qui sont hébergées dans le cloud doivent impérativement l’être dans un cloud qualifié SecNumCloud. “Cette récente précision sur le caractère sensible des données de santé s’applique, dans le contexte de la doctrine, à toute la sphère des données de santé publiques, imposant clairement le recours à un cloud commercial qualifié SecNumCloud”, insiste-t-il (à noter qu’elle ne s’applique pas aux établissements de santé privés). Si peu d’établissements de santé publics appliquent aujourd’hui ces normes, c’est d’abord, selon Alain Issarni, le fait d’une “certaine réticence, les mentalités n’ayant pas encore évolué dans cette direction”. Mais c’est aussi et surtout, ajoute-t-il, parce que “les fonctionnalités du cloud qualifié SecNumCloud sont demeurées restreintes, se limitant au IaaS”. La réticence des hôpitaux se justifie donc selon lui “par les attentes des acteurs de santé en matière d’offres riches et sécurisées dans ce domaine”. En conséquence, enrichir ces fonctionnalités avec des services managés SNC devrait logiquement “encourager le secteur à adopter davantage le cloud et le rassurer sur ce plan”, conclut-il. Alain Issarni Depuis février 2023 : CEO de NumSpot 2015 – 2023 : DSI / CIO de la Caisse nationale de l’Assurance Maladie (Cnam) 2012 – 2015 : DSI de la Direction Générale des Finances Publiques (DGFIP) 1991 : Master Aéronautique Stanford (Californie) 1989 – 1991 : Diplôme d’ingénieur en aérospatiale (École nationale supérieure de l’Aéronautique et de l’Espace) 1986 – 1989 : Diplôme d’ingénieur en mécanique (École Polytechnique) Romain Bonfillon cloudCommission EuropéenneCybersécuritéDonnées de santéHôpitalIntelligence ArtificielleRèglementaireStratégie Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire Dossier Loi SREN : le cloud souverain au cœur des débats Eric Bothorel (député Renaissance) : “Nous livrons la bataille du cloud un peu tard” Le cloud souverain