Contact

Différence entre ISO 27001 et HDS

ISO 27001 et HDS (Hébergeur de Données de Santé) sont deux cadres de sécurité souvent associés, mais leur portée, leurs objectifs et leurs exigences diffèrent. L’un concerne la gestion de la sécurité de l’information au sens large, l’autre impose un cadre strict dédié à la protection des données de santé en France. Voici un guide clair pour comprendre leurs différences et leurs complémentarités.

 

ISO 27001 : une norme internationale
de gestion de la sécurité

ISO 27001 est une norme internationale qui définit les bonnes pratiques de gestion de la sécurité de l’information.
Elle s’applique à toutes les entreprises, indépendamment de leur secteur, et offre un cadre pour :

  • identifier les risques,

  • définir des politiques de sécurité,

  • organiser les processus internes,

  • protéger les actifs informationnels,

  • mettre en place un management continu de la sécurité.

 

Les objectifs d’ISO 27001

  • Structurer la gouvernance de la sécurité

  • Documenter les processus

  • Mettre sous contrôle les risques

  • Harmoniser les pratiques de sécurité

  • Améliorer continuellement le système (PDCA)

 

ISO 27001 n’impose pas des mesures techniques précises : elle impose la gestion du risque et de la sécurité, pas l’infrastructure.

 

 

HDS : un référentiel français dédié
aux données de santé

La certification HDS est un cadre spécifique pour l’hébergement des données de santé, défini par l’ANS (Agence du Numérique en Santé).
Elle impose des obligations strictes, adaptées au caractère extrêmement sensible des données médicales.

 

Les objectifs HDS

  • Sécuriser l’hébergement des données de santé

  • Garantir la disponibilité du SI médical

  • Protéger les dossiers patients contre les cybermenaces

  • Encadrer les sous-traitants techniques

  • Assurer auditabilité et conformité

 

Contrairement à ISO 27001, HDS ne s’applique qu’aux organisations manipulant des données médicales identifiables.

 

 

ISO 27001 vs HDS : différences majeures

Voici les distinctions essentielles entre les deux cadres.

 

1. Portée et périmètre

ISO 27001

  • Vise toutes les informations de l’entreprise

  • Applicable à tous les secteurs

  • Concerne la gouvernance de la sécurité

  • Ne se limite pas à un type d’infrastructure

 

HDS

  • Concerne uniquement les données de santé

  • Obligatoire pour les acteurs manipulant des données médicales identifiables

  • Imposé par le Code de la Santé Publique

  • Couvre infrastructure + administration + sauvegardes + applications

 

2. Exigences techniques

ISO 27001

  • Exige une gestion du risque

  • Propose des bonnes pratiques

  • Ne prescrit pas de solutions techniques spécifiques

 

HDS

  • Impose des mesures techniques strictes :

    • chiffrement,

    • segmentation,

    • journalisation complète,

    • sauvegardes immuables,

    • durcissement système,

    • PRA/PCA,

    • supervision SOC,

    • documentation ANS.

 

HDS est beaucoup plus prescriptif sur les mesures de sécurité.

 

3. Nature juridique

ISO 27001

  • Norme internationale (ISO)

  • Non obligatoire légalement

  • Visée : amélioration de la sécurité de l’information

 

HDS

  • Obligation légale en France

  • Encadrée par le Code de la Santé Publique

  • Indispensable pour héberger des données médicales identifiables

 

4. Audit et conformité

ISO 27001

  • Audit de certification par un organisme accrédité

  • Récurrence : tous les 3 ans + audits de surveillance

  • Couvre le SMSI (Système de Management de la Sécurité de l’Information)

 

HDS

  • Audit beaucoup plus opérationnel

  • Vérification des rôles 1 à 6

  • Contrôle de la chaîne complète d’hébergement

  • Obligations documentaires très détaillées

  • Audits annuels, suivi strict

 

5. Rôle du prestataire

ISO 27001

  • Structure l’organisation

  • Encadre les politiques, procédures, risques

  • N’impose pas un type d’infrastructure

 

HDS

  • Spécifie ce que l’hébergeur doit faire techniquement

  • Contrôle l’infrastructure, les accès, les sauvegardes

  • Rôle direct sur la sécurité opérationnelle du SI santé

 

 

ISO 27001 et HDS sont-ils complémentaires ?

Oui : les deux cadres sont fortement complémentaires.

 

Un hébergeur HDS doit être ISO 27001

La certification HDS impose obligatoirement un SMSI conforme à ISO 27001.
HDS est donc construit sur une base ISO 27001.

 

ISO structure, HDS prescrit

  • ISO 27001 : cadre de gouvernance et gestion du risque

  • HDS : mesures techniques et organisationnelles spécifiques au secteur santé

 

Ensemble, ils assurent :

  • gouvernance

  • conformité

  • sécurité opérationnelle

  • résilience

  • haute disponibilité

 

C’est l’association qui offre la meilleure protection.

 

ISO 27001 et HDS ne sont pas interchangeables :

  • ISO 27001 est une norme internationale de gestion de la sécurité,

  • HDS est une obligation légale pour héberger des données de santé.

Un hébergeur HDS doit être ISO 27001, mais l’inverse n’est pas vrai : un prestataire ISO 27001 ne peut pas héberger des données médicales identifiables sans certification HDS.
Comprendre ces différences permet de choisir un prestataire réellement conforme et sécurisé.