Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS

28 septembre 2022 - 5 min de lecture

Pour Scalingo, la protection et la confidentialité des données de nos utilisateurs a toujours été une priorité. Nous travaillons sans relâche pour améliorer cela en continu.

C’est pour cette raison que nous sommes aujourd’hui heureux de vous annoncer qu’après une intense période de préparation et d’audit,Scalingo est officiellement le premier Platform as a Service Européen à être certifié HDS (Hébergeur de Données de Santé) et ISO 27001 !

Cela signifie qu’à partir de maintenant, Scalingo en tant qu’entreprise est conforme à la norme ISO 27001 et que nos services sont certifiés HDS, permettant l’hébergement des données de santé sur la plateforme.

Dans cet article nous allons entrer plus en détail pour vous expliquer ce que ces certifications signifient et quelles opportunités ces dernières représentent pour vous.

Pour rappel, nous avions publié plus tôt en 2022 un premier article parlant de nos objectifs de certifications comme faisant partie de notre stratégie vers l’obtention de SecNumCloud.

Les certifications : qu’est-ce que c’est ?

On parle de certifications lorsqu’un organisme indépendant et reconnu, délivre une assurance écrite attestant qu’une organisation, un produit, ou un service sont conformes à des exigences spécifiées dans un référentiel.

Ainsi, la certification est un processus volontaire de la part d’une organisation, qui a pour objectif d’obtenir une garantie de qualité au sens large pour ses utilisateurs.

Ces certifications en questions servent d’intermédiaire entre Scalingo et nos utilisateurs. Elles fournissent une validation d'une tierce partie qui démontrera que nos pratiques en termes de sécurité du système et de confidentialité des données sont cohérentes avec les normes attendues.

Obtenir une certification est l'aboutissement d'un long processus de mise en conformité avec des standard établis par des professionnels de notre métier. Cela nous a permis à la fois de nous rendre compte de la qualité de nos processus et de nos mesures de sécurité actuelles, mais aussi de mettre en lumière nos marges de progression. Le processus a été un vrai travail de conduite du changement. Il ne s’agit pas d’appliquer "bêtement" les normes mais au contraire bien comprendre leur essence et en quoi elles s'appliquent dans le contexte d'une entreprise en forte croissance et avec une forte culture DevOps.

“ Sans certif’, c'est dire “Croyez-moi sur parole”. Avec la certification, un tiers indépendant garantit que Scalingo fait ce qu'elle dit et dit ce qu’elle fait. ”

Yannick Jost, Head of Security & Compliance

À quoi sert la norme ISO 27001 ?

Pour commencer, il faut savoir que les normes ISO sont élaborées par l'Organisation Internationale de Normalisation et sont reconnues internationalement.

La norme ISO 27001 définit des exigences au sujet du système de gestion de la sécurité de l'information (SMSI) des organisations.

Un SMSI (Système de Management de la Sécurité de l'Information) peut être défini comme un ensemble de règles écrites et organisées, composées de procédures, de politiques et d’outils qui garantissent le niveau adéquat de sécurité de l’information.

ISO 27001 implique la mise en place d’un ensemble de procédures définies par les experts de l’Organisation Internationale de Normalisation, pour assurer un niveau élevé de gestion de la sécurité de l’information.

Le terme de “Sécurité de l’Information” (SI), signifie que la sécurité des informations est garantie. Il ne s’agit pas seulement de s’assurer que les données confidentielles le restent, mais également d’être capable d’assurer leur disponibilité et leur intégrité.

Qu’en est-il de la certification HDS ?

La certification HDS signifie “Hébergeur de Données de Santé” et a été élaborée par l’ANS. (L'Agence du Numérique en Santé).

HDS est une certification française qui est centrée sur la protection de la confidentialité des données personnelles, notamment des données de santé. Ses principaux axes sont la garantie de la qualité et de la continuité de service.

Cette certification est essentielle pour les entreprises travaillant avec des données sensibles liées à la santé. Elle permet désormais à nos clients et utilisateurs de choisir Scalingo en tant qu’hébergeur de ces données.

En France cela va même plus loin, puisque l’utilisation d’un hébergeur conforme à HDS est obligatoire dans la loi (article L-1111-8 du Code de la Santé Publique) pour les “activités de prévention, de diagnostic, de soins ou de suivi social et médico-social”.

À savoir : la certification ISO 27001 est un prérequis obligatoire à l’obtention de la certification HDS.

Quel est le périmètre de la certification HDS de Scalingo ?

Scalingo est certifiée pour l’ensemble des activités de HDS, à savoir :

Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
Administration et exploitation du système d’information contenant les données de santé ;
Sauvegardes externalisées des données de santé.

Qu’est-ce que cela apporte à nos clients ?

Aujourd’hui, toute l’organisation Scalingo est certifiée conforme à la norme ISO 27001 et nous proposons dorénavant un nouveau type d’applications et de bases de données identifiées comme “HDS”.

Cela signifie pour les utilisateurs que notre plateforme dispose d’une qualité de service certifiée, garantie par un organisme indépendant.

Ainsi, tous les utilisateurs de Scalingo vont pouvoir en bénéficier et ce, sans coût additionnel ! En plus, pour les acteurs de la e-santé et utilisateurs concernés, notre PaaS souverain Scalingo peut désormais héberger des données liées au domaine de la santé.

Qu’est-ce qui change ?

Le seul changement lié aux certifications est celui de la mise à jour de nos Conditions Générales de Service.

En effet, pour être conformes aux attentes et obtenir les certifications, certains changements sur nos Conditions Générales de Service ont eu lieu.

Pour comprendre davantage ces changements, nous avons rédigé un article entièrement dédié à ce sujet, expliquant en détail les modalités d’acceptation.

Tous les projets actuellement hébergés peuvent-ils désormais traiter des données de santé ?

Pour traiter des données de santé, vous devez d’abord créer une nouvelle application identifiée comme “HDS” au sein de la plateforme et signer les conditions particulières relatives à l’hébergement de données de santé. Ces applications ont des contraintes particulières en terme de configuration (nombre de conteneurs, plans d’addons autorisés).

En bref

Depuis ses débuts, Scalingo ne cesse de grandir et d’évoluer en même temps que nos utilisateurs.

Le sujet de l’amélioration continue, de la qualité de service et de la confidentialité a toujours été au cœur de notre développement.

Nous sommes ainsi fiers et ravis aujourd’hui de pouvoir annoncer nos certifications HDS et ISO 27001 à tous nos utilisateurs !

Yann Klis

Yann KLIS a fondé Scalingo en 2015 avec son associé Léo Unbekandt avec la vision de proposer une plateforme cloud d'hébergement web, véritable alternative européenne et souveraine aux géants américains. Aujourd'hui Scalingo héberge plusieurs milliers d'applications web déployées par des clients du monde entier ! L'objectif de Scalingo est de devenir la plateforme cloud de référence pour les développeurs web en Europe. Auparavant, il a fondé Novelys, un studio de développement spécialisé dans la technologie Ruby on Rails.

Lire les autres articles de l'auteur