L’APICEM, ayant déjà passé les étapes de son agrément en juin 2017 puis de son entrée dans l’espace de confiance en 2018, se prépare actuellement à obtenir une nouvelle certification en ce début d’année 2021.
De l’agrément à la certification
La publication d’un référentiel de certification HDS (C-HDS) par l’Agence du Numérique en Santé (ANS), basé sur les normes ISO 27001, ISO 27018, ISO 20000-1 et sur la Politique Générale de Sécurité des Systèmes d’Information en Santé (PGSSI-S), a remplacé l’initiale procédure d’agrément.
Sous l’œil attentif de notre Chef de Projet et RSSI, toutes nos équipes oeuvrent donc chaque jour, et cela depuis des mois maintenant, malgré ce contexte compliqué, afin d’obtenir une nouvelle certification en tant qu’Hébergeur de données de santé.
L’organisme certificateur, accrédité par le COFRAC et dans le plus grand respect du référentiel d’accréditation édité par l’ANS procèdera donc à un audit en deux étapes bien distinctes : un audit documentaire dans les conditions définies dans le référentiel d’accréditation et un audit sur site dont les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.
Un investissement humain et financier important
Bien sûr, nous mettons tout en œuvre pour obtenir ce certificat pour les trois prochaines années, car évidemment, ce projet de certification sous-entend la mise en place de nombreuses mesures en interne et des investissements humains et matériels considérables.
D’autre part et afin de formaliser les bonnes pratiques mises en œuvre à l’APICEM, il est également indispensable de réviser les procédures d’exploitation, de sécurité physique et environnementale, mais aussi la gestion des actifs matériels et informationnels de la société, sur un périmètre important, allant de la gestion des ressources humaines à la gestion de nos fournisseurs.
L’APICEM SARL, qui souhaite poursuivre le déploiement de ses outils de Messagerie Sécurisée en Santé, suit le processus de Certification HDS (C-HDS), qui implique notamment un besoin de formation ou tout du moins de formalisation des sensibilisations des salariés de l’APICEM SARL sur divers sujets.
Cette certification est primordiale si l’APICEM SARL souhaite continuer à exploiter et proposer son service de messagerie sécurisée en santé APICRYPT version 2 et afin, tant que possible, de ne pas revenir à APICRYPT 1.
Une migration des serveurs APICRYPT réussie
C’est également pour cette raison qu’une migration de nos serveurs s’est avérée inéluctable. En effet, une continuité de la disponibilité de nos services et la parfaite gestion de leur capacité opérationnelle sont rendues obligatoires pour aboutir à la certification. Par ailleurs, cette bonne gestion doit pouvoir être démontrée facilement à un auditeur.
Pour ce faire, l’APICEM SARL aurait dû faire l’acquisition de matériel très coûteux. Cette volonté de migration vers un Data Center HDS permettra à l’APICEM SARL non seulement de respecter les normes imposées tout en limitant ses investissements, mais aussi de pouvoir le démontrer facilement en plus d’offrir des capacités opérationnelles plus importantes donnant plus de souplesse à l’APICEM dans la gestion de ses projets nouveaux.
Un retard expliqué
En cette année si particulière, l’APICEM a dû faire face à divers obstacles, dont la prochaine dématérialisation des clefs de cryptage, en vue de faciliter le déploiement et l’installation de la version 2 d’APICRYPT pour l’ensemble de ses utilisateurs ainsi qu’une transformation nécessaire du modèle économique de sa structure afin de rester compétitive.
La période de pandémie a également contraint l’APICEM à mettre en place une nouvelle organisation interne pour assurer une continuité totale de son activité et de la sécurité de ses opérations.
Cette succession de difficultés et de nouvelles mesures ont quelque peu retardé le délai fixé initialement au 10/09/2020 par l’état pour l’obtention de cette certification, mais l’APICEM a bon espoir de pouvoir finaliser ce projet durant le premier semestre 2021.
Nous espérons donc vivement obtenir cette certification et pouvoir vous annoncer prochainement une bonne nouvelle.