Sécurité et protection des données de santé | ResMed France

Sécurité : systèmes sécurisés de bout en bout pour protéger les données

ResMed vise l’excellence en matière de sécurité des informations. Nos équipes d’experts adoptent une approche proactive pour gérer les défis complexes associés à la sécurité des informations de bout en bout, en renforçant nos défenses contre les menaces tout en atténuant et en gérant les risques. Nos procédures et nos protocoles respectent les exigences réglementaires et les meilleures pratiques afin que vous et vos patients puissent compter sur la fiabilité, la confidentialité et l’intégrité des données.

La sécurité des données chez ResMed

 

Grégory Cordier, Senior Manager Digital Platform Engineering, nous parle de la sécurité des données sous tous ses aspects.

 

Pourquoi faire confiance à ResMed en matière de sécurité ?

La sécurité est au centre des activités de ResMed. En tant qu’organisation fournissant des prestations de santé par l’intermédiaire de solutions à distance et de dispositifs connectés au Cloud, nous avons besoin de systèmes de sécurité robustes, élargis, réactifs et conformes. Nous considérons que la sécurité représente un avantage stratégique et nous y consacrons des investissements en conséquence. Notre équipe de sécurité internationale est experte en ingénierie, architecture et gouvernance des Systèmes d’Information ainsi qu’en matière de sécurité du Cloud. Elle collabore étroitement avec nos équipes de technologie numérique de santé pour garantir que la sécurité fait partie intégrante de notre infrastructure, nos applications, nos systèmes et nos procédures dès leur conception.

Protégez les données de santé sensibles

Les systèmes et les protocoles avancés de sécurité de ResMed réduisent le risque de vol des données et l’accès non autorisé. Notre approche de bout en bout vous aide à respecter vos obligations en matière de sécurité des données de santé et garantissent la confidentialité des données à caractère personnel de vos patients.

Accédez à des données précises

Avec ResMed, vous pouvez avoir confiance dans l’intégrité des données de santé. Nos systèmes de traitement sécurisé et de stockage préviennent la perte et la corruption des données. Des protocoles de sécurité robustes optimisent la disponibilité du service et protègent contre les pannes.

Bénéficiez de services pertinents

Optimisez la gestion des patients en collaborant avec un partenaire dont les systèmes sécurisés protègent les données contre les accès non autorisés tout en garantissant une disponibilité à distance rapide des informations et des analyses dont vous avez besoin. Nous sommes fiers de nos systèmes de sécurité qui procurent une fondation solide pour des services réels et pertinents, suppriment les obstacles aux échanges et vous permettent de travailler plus facilement.

Certification de sécurité

 

Lorsqu’il s’agit de l’excellence opérationnelle pour la sécurité des données, nous voulons aller plus loin. Nous avons demandé et obtenu la double certification HDS/ISO 27001 pour AirView et myAir afin de démontrer notre engagement en faveur du traitement et de l’hébergement sécurisés des données et pour garantir que nos équipes et systèmes fonctionnent conformément aux normes les plus élevées, vérifiées par des auditeurs indépendants.

ISO 27001

 

ISO 27001 est une norme internationale bien connue pour les systèmes de gestion de la sécurité des informations. Cette norme détaille les exigences pour l’établissement, la mise en application, le maintien et l’amélioration continue du système de gestion de la sécurité des informations d’une organisation afin de protéger les données et les informations détenues par ce système. En août 2020, ResMed a obtenu la certification ISO 27001 pour ses solutions AirView et myAir et pour son site de Lyon, suite à un audit indépendant rigoureux. Les professionnels de santé, les partenaires et les patients qui utilisent nos services peuvent ainsi avoir confiance dans la gestion sécurisée de leurs données sensibles. Chaque année, une équipe d’auditeurs indépendants vérifiera que ResMed continue de respecter les normes ISO 27001.

HDS (Hébergement de Données de Santé)

 

HDS est une norme française rigoureuse de certification qui s’adresse aux entités hébergeant des données concernant la santé. Elle associe les exigences d’ISO 27001 et de la norme française ASIP ainsi que certains éléments d’ISO 27018 et d’ISO 20000. ResMed est l’un des rares fabricants de dispositifs médicaux et créateurs de solutions numériques qui est conforme à cette norme stricte de stockage et de traitement des données de santé. Le maintien de notre conformité avec HDS passe par un audit annuel indépendant et rigoureux.

FAQ HDS

HDS est une certification française rigoureuse qui s’adresse aux entités hébergeant des données de santé. Elle associe les exigences d’ISO 27001, certains éléments d’ISO 27018 et d’ISO 20000, ainsi que des exigences additionnelles de l’ASN (Agence Du Numérique en Santé). Comme les normes ISO reconnues à l’échelle internationale, sur lesquelles elle est basée, HDS est un cadre pour l’amélioration continue. Par conséquent, le maintien de la conformité de ResMed avec HDS fera l’objet d’un audit rigoureux et indépendant chaque année.

HDS est conçu pour protéger les données concernant la santé. Au cours d’un audit indépendant exigeant, les entreprises certifiées doivent démontrer qu’elles possèdent des solutions et des procédures de sécurité complètes, robustes et appropriées qui maintiennent la confidentialité, l’intégrité et la disponibilité des données, pour les clients et les partenaires.

ResMed, comme les autres entreprises hébergeant des données concernant la santé en France, doit posséder la certification HDS. Le respect des normes HDS améliore la qualité des services de bout en bout que ResMed fournit à tous ses clients européens. La norme augmente également la visibilité et la transparence pour les clients, en ce qui concerne la gestion de la sécurité des informations de ResMed.

ISO 27001 est une norme internationale pour les systèmes de gestion de la sécurité des informations. Elle peut être appliquée à n’importe quel processus par n’importe quelle organisation et est facultative.
HDS est une norme française obligatoire pour les organisations qui traitent les données des patients français. Étant donné que HDS repose principalement sur l’ISO 27001, les organisations doivent obtenir la certification ISO27001 afin d’obtenir la certification HDS.

Le champ d’application de HDS est important. Même si la sécurité des informations est au cœur de la certification, HDS évalue la sécurité sous toutes ses formes. Par exemple, elle réduit le risque des cyberattaques et maintient la disponibilité des informations en garantissant que les applications résistent aux pannes. Elle protège la confidentialité en sécurisant l’accès aux données sensibles. Elle couvre la gestion des fournisseurs avec des audits réguliers des fournisseurs ayant un impact direct sur les systèmes informatiques. HDS couvre même l’accès physique aux bâtiments afin de réduire le risque d’accès par des tierces parties non autorisées.

La certification HDS / ISO 27001 de ResMed couvre la gestion des plates-formes AirView et myAir en Europe ainsi que le site de Lyon.

Oui. Une copie de notre certification HDS peut être téléchargée ici.

ResMed est certifié pour les six niveaux HDS, y compris les niveaux d’infrastructure, même si l’entreprise n’est pas propriétaire du centre dans lequel ses données sont hébergées. Nous avons décidé d’obtenir la certification HDS pour les six niveaux pour deux raisons : premièrement pour confirmer à nos clients que nous sécurisons leurs données à chaque niveau et deuxièmement car nous sommes responsables du choix du meilleur fournisseur d’hébergement physique pour nos clients. Nous avons choisi un fournisseur qui est certifié HDS pour héberger les données de santé et nous contrôlons sa performance pour garantir qu’il fournit les meilleurs niveaux de sécurité et de confidentialité.

Le texte complet de la norme HDS est disponible en français sur le site Web de l’organisme Agence du numérique en santé.

Migration de l’hébergement de nos services ResMed vers AWS

L’objectif de ResMed est de fournir des produits et des solutions améliorant la qualité de vie et réduisant la charge des maladies chroniques sur les systèmes de santé. Les nouvelles technologies numériques utilisant des données des appareils connectés sont essentielles pour atteindre cet objectif. Chez ResMed, nous les utilisons pour cibler les améliorations continues des soins aux patients, de la qualité et de la performance des produits et pour générer une valeur ajoutée au profit de nos clients. Pour exploiter ces technologies de façon sécurisée, rapide, efficace et à grande échelle, nous avons choisi de travailler avec l’infrastructure de cloud computing de classe mondiale et les capacités des centres de données d’AWS (Amazon Web Services) à Francfort, en Allemagne et à Paris, en France.

Divulgation de vulnérabilité auprès de ResMed

  1. Envoyez un courriel crypté, en utilisant la clé PGP ResMed, à Security Reports.
  2. Fournir autant d’informations que possible, y compris les étapes pour reproduire le problème et tous les journaux ou scripts utilisés (par exemple, texte, captures d’écran).
  3. Si vous souhaitez un suivi, veuillez utiliser une adresse électronique valide.

  • ResMed vous contactera avec un numéro d’incident et pourra vous demander des informations supplémentaires.
  • ResMed vérifiera la vulnérabilité et se coordonnera en interne pour planifier la correction, si elle est vérifiée.
  • ResMed coordonnera avec vous un calendrier de traitement.
  • ResMed vous informera lorsque le problème aura été résolu.
  • ResMed s’efforcera de répondre aux demandes de statut dans les 10 jours ouvrables.

  • Ingénierie sociale et hameçonnage
  • Attaques physiques contre des systèmes ou des sites appartenant à ResMed
  • Actions susceptibles de perturber le service (par exemple, déni de service, force brute)
  • Envoi de données identifiables sur les clients, les patients, les employés ou les utilisateurs
  • Divulgation publique prématurée d’une vulnérabilité en matière de cybersécurité
  • Test de systèmes n’appartenant pas à ResMed, tels que des fournisseurs tiers.