Professionnel de santé ?
Je m'inscris

Comment nous avons renouvelé nos certifications ISO et HDS

Chez Medaviz, la sécurité est au cœur de notre solution, mais aussi de nos préoccupations et de nos pratiques. Notre objectif n’est pas seulement de respecter les exigences réglementaires de sécurité, mais de les dépasser afin de fournir une solution hautement sécurisée pour tous nos utilisateurs. Récemment, nous avons renouvelé nos certifications ISO et HDS. On vous explique comment ça s’est passé .

Pourquoi le renouvellement ?

Medaviz première société de téléconsultation certifiée ISO 27001

Nous avons été certifiés ISO 27001 pour la première fois en juin 2022. À l’époque, nous étions la première société de téléconsultation à l’être ! Nous avons enchaîné quelques mois après, en mars 2023, par notre première certification d’Hébergeur de Données de Santé (HDS). Celle-ci a également été l’occasion de s’aligner sur la nouvelle version de l’ISO 27001 qui venait de sortir, afin d’être toujours à l’état de l’art sur le sujet de la cybersécurité. 

Comme les certifications ISO 27001 et HDS ont une validité de 3 ans, il était temps pour nous de les renouveler en mai 2025. À vrai dire, tous les ans, un audit de surveillance a tout de même lieu pour vérifier que le système de management mis en place fonctionne correctement entre deux audits : on ne s’endort jamais sur nos lauriers ! 

L’audit de renouvellement est simplement plus long et complet qu’un audit de surveillance. Pour une entreprise comme la nôtre de 35 personnes sur un seul site, à Vannes, l’auditeur est présent presque toute une semaine pour le renouvellement, contre quelques jours pour une surveillance. En comptant la période préparatoire puis l’intégration du rapport d’audit a posteriori, c’est un investissement en temps non négligeable.

Respecter et dépasser les exigences réglementaires de sécurité

Gagner votre confiance

Le renouvellement, une formalité ?

Les exigences de sécurité en télémédecine renforcée

Un renouvellement est toujours plus simple qu’une certification initiale parce qu’on connaît le langage codé, le vocabulaire propre aux normes, les erreurs à ne pas faire, etc. Mais c’est loin d’être anodin. Déjà parce que ce renouvellement était aussi une transition vers la nouvelle version de la certification d’Hébergeurs de Données de Santé sortie fin 2024. Le référentiel datait de 2018, il avait donc besoin d’un petit coup de pinceau. 

Il y avait donc toute une série d’obligations nouvelles à respecter, en particulier en ce qui concerne les relations contractuelles avec nos clients ainsi que le renforcement de la souveraineté des données. Lorsque de nouvelles exigences du référentiel apparaissent, il peut toujours y avoir un doute sur l’interprétation de telle ou telle règle, ce qui rend la préparation plus complexe.

Par ailleurs, les organismes d’audit ont une règle : l’auditeur change tous les 3 ans. Cela permet d’avoir un œil nouveau sur l’entreprise, d’identifier de nouveaux axes de progrès. Cela évite aussi que les liens créés entre les auditeurs et les audités, qu’ils soient bons ou dégradés, ne biaisent le rapport d’audit, dans un sens ou dans l’autre. Ce roulement d’auditeur incite à une plus grande vigilance puisque chaque auditeur a des compétences et donc des centres d’intérêts différents.

Mobilisation générale de l’équipe !

Lors des audits ISO et HDS, toute l’entreprise est impliquée ! Certaines entreprises cantonnent cette démarche aux rôles des “QHSE” (Qualité-Hygiène-Sécurité-Environnement) ou encore des équipes techniques et informatiques. Chez nous, ça fait partie de notre état d’esprit de considérer que toute l’entreprise est concernée par ces sujets, des développeurs à la direction en passant par les commerciaux ou le service client. D’ailleurs, le périmètre de nos certifications couvre toutes nos activités et tous les pôles de Medaviz. 

Tous les salariés ont participé d’une manière ou d’une autre, soit en renouvelant leur formation, soit dans des réunions de pôle permettant de parler des enjeux de sécurité propres à chaque équipe, ou autrement. 

La plupart des personnes auditées étaient des responsables de pôle mais pas seulement : 12 personnes, soit un tiers de l’entreprise, ont participé à des entretiens d’audit. Certains ont été audités pour la première fois de leur vie : une fois le stress évacué, les néophytes étaient contents de l’expérience forgée !

Mon rôle de pilote de cet audit et de cette démarche de manière plus globale consiste à aider les pôles tout au long de l’année pour ancrer la sécurité dans leur quotidien. Cela rend notre système de management de sécurité de l’information (SMSI) très opérationnel et concret pour les équipes, et le moins bureaucratique possible. Cela évite aussi de se retrouver esseulé à quelques semaines de l’audit… Notre plan de contrôle contient une centaine d’actions régulières réparties tout au long de l’année.

Pour accompagner le mieux possible en interne, je briefe tous les pôles et en particulier les futurs audités sur les documents à préparer, la manière de répondre avec clarté et méthode aux questions des auditeurs, etc. Surtout, je leur dis que ce qu’ils vont présenter, ce sont leurs habitudes et leur travail du quotidien : comme ils le font très bien, ils peuvent aller en entretien d’audit les yeux fermés !

Des exemples d’amélioration continue ?

les exigences de notre agrément des sociétés de téléconsultation nous ont permis aussi de nous améliorer

En 3 ans, le SMSI a le temps d’évoluer. L’auditeur n’exige pas la même chose d’une entreprise nouvellement certifiée par rapport à celle qui entame son second cycle d’audit comme Medaviz. Chacun en a été bien conscient : il ne faut pas simplement mettre à jour nos politiques, procédures et actions, mais s’améliorer en continu.

Le SMSI doit vivre et donc susciter de nouvelles d’améliorations régulièrement. Par exemple, cette année, nous avons :

  • Augmenté la fréquence de nos tests de hameçonnage en interne, en passant d’un rythme annuel à un rythme trimestriel, 
  • Renforcé la sécurité dans les échanges de fichiers avec nos partenaires,
  • Changé de gestionnaire de mots de passe en optant pour une solution française certifiée par l’ANSSI.

Cette année, les exigences de notre agrément des sociétés de téléconsultation nous ont permis aussi de nous améliorer. Par exemple, nous avons généralisé l’authentification en deux étapes pour tous les utilisateurs, patients et professionnels de santé. Nous avons aussi renforcé notre mécanisme de blocage des tentatives de connexion avec des mots de passe incorrects pour éviter notamment des attaques de force brute ou des piratages de comptes individuels.

Et la suite ?

Notre prochain audit de renouvellement sera dans 3 ans, mais notre audit de surveillance est déjà planifié en mai 2026. D’ici là, nous avons encore à valider les jalons 3 et 4 de l’agrément des sociétés de téléconsultation. Ces exigences concernent l’éthique de notre solution, sujet transversal à toute l’entreprise, et la e-prescription pour renforcer la sécurité des ordonnances.

La politique de sécurité que nous avons déterminée nous incite à améliorer davantage la souveraineté des données et des solutions utilisées ; c’est donc un vaste chantier qui nous attend et qui prendra du temps ! Mais nous relevons le défi !

Pouvons-nous (vraiment) sécuriser les données de santé ?

Téléchargez l’ebook

Certifications et agrément

Medaviz est certifié Hébergeur de Données de Santé et ISO-27001, et veille au respect des normes RGPD.
Sécurité de l’information, cybersécurité et protection de la vie privée

Medaviz a obtenu l’agrément des sociétés de téléconsultations délivré par le Ministère de la Santé et de la Prévention.

À propos

Vous êtes

Nos offres

Ressources

Application my.medaviz.io

Podalire ©2024, Tous droits réservés

Linkedin Youtube