Votre activité, vos contraintes : une infogérance adaptée à votre contexteHébergement HDS pour établissements de santé : outils métiers, conformité et résilienceHébergement HDS pour établissements de santé : outils métiers, conformité et résilience
Dans un établissement de santé, l’infrastructure numérique n’est pas périphérique. Elle conditionne la disponibilité des outils métiers, la protection des données de santé et la continuité des usages au quotidien. Une indisponibilité applicative ou une compromission de données n’est jamais un incident purement technique : elle impacte directement l’organisation des soins, la coordination des équipes et la confiance dans le système d’information.
Niwanet accompagne les établissements de santé dans l’hébergement et l’infogérance de leurs environnements critiques, dans un cadre certifié HDS et ISO 27001, opéré en France. Supervision continue, sauvegardes externalisées, stockage à froid et plan de reprise d’activité : le dispositif est conçu pour des environnements où l’improvisation n’est pas acceptable.
HDS : une obligation réglementaire, pas un argument de vente
Dès lors qu’un établissement héberge des données de santé à caractère personnel, l’hébergement sur une infrastructure certifiée HDS est une obligation légale.
Ce cadre réglementaire encadre l’ensemble de la chaîne :
- hébergement physique,
- infrastructure virtuelle,
- administration du système d’informations
- et sauvegardes externalisées.
Un hébergement non conforme expose l’établissement à des risques réglementaires, mais aussi opérationnels. Un audit, un appel d’offres, un partenariat avec un acteur institutionnel ou une contractualisation avec un éditeur de solution de santé peut à tout moment mettre en lumière un cadre d’hébergement inadapté aux exigences du secteur.
Niwanet couvre les volets infogéreur de la certification HDS, en s’appuyant sur OVHcloud pour les couches d’hébergement physique. Les datacenters utilisés sont certifiés HDS et ISO 27001, hébergés en France.
Cette répartition des responsabilités entre OVHcloud et Niwanet couvre l’ensemble des 6 niveaux de la norme HDS, sans zone de flou sur qui répond de quoi.
Les risques d’un hébergement mal cadré dans un établissement de santé
Un hébergement insuffisamment structuré ne crée pas toujours de problème immédiat. Les fragilités apparaissent progressivement, et souvent au pire moment.
Héberger des données de santé à caractère personnel sans certification HDS constitue une infraction directe au Code de la Santé Publique (article L1111-8). Ce risque est indépendant de la qualité technique de l’environnement : même une infrastructure performante reste hors cadre réglementaire sans cette certification. Les conséquences sont juridiques, mais aussi réputationnelles pour l’établissement.
Être certifié HDS ne garantit pas que l’infrastructure répond aux besoins réels de l’établissement. Un environnement mal dimensionné ou mal conçu génère des indisponibilités répétées, des lenteurs ressenties par les utilisateurs et une charge de maintenance disproportionnée. La certification atteste d’un cadre, pas d’une performance.
Sans architecture clairement documentée, des flux mal segmentés, des composants mal configurés ou des accès non maîtrisés créent des vecteurs d’attaque non identifiés. Ce que personne n’a conçu, personne ne contrôle.
La sécurité d’une infrastructure se détériore si elle n’évolue pas. Sans révision régulière face aux nouvelles menaces, la surface d’exposition s’élargit progressivement. Ce n’est pas un événement, c’est un glissement.
Les établissements de santé sont des cibles identifiées des cyberattaques. Un ransomware, une intrusion ou une altération de données sur un environnement non supervisé peut rester invisible pendant plusieurs heures ou plusieurs jours jusqu’à ce que l’impact soit impossible à ignorer. La supervision n’est pas une option, c’est le seul moyen de voir ce qui se passe réellement.
Des sauvegardes non testées, mal configurées ou géographiquement trop proches de la production ne couvrent pas les scénarios critiques. Découvrir pendant un incident majeur que les données ne sont pas restaurables dans des délais acceptables (voire qu’elles sont absentes) est une situation intolérable. Dans le secteur de la santé, les conséquences peuvent dépasser le cadre organisationnel.
Outils métiers : ce que Niwanet héberge et exploite
Les établissements de santé s’appuient sur des environnements numériques variés dont la disponibilité conditionne le fonctionnement quotidien :
- Applications SaaS métiers,
- portails patients ou professionnels,
- plateformes d’échanges,
- outils de coordination,
- environnements de production internes
Chacun de ces environnements a ses propres contraintes de disponibilité, de sécurité et de conformité.
Niwanet prend en charge l’hébergement et l’infogérance de ces environnements dans un cadre structuré. Cela couvre :
- la conception de l’architecture adaptée aux contraintes de l’établissement,
- l’hébergement sur infrastructure certifiée HDS en France,
- la supervision 24/7 des ressources et des services,
- la maintenance MCO et MCS qui inclus notamment les mises à jour et les sauvegardes ainsi que la gestion des incidents avec des SLA définis.
L’accompagnement commence par un cadrage des besoins réels : niveau d’exigence, contraintes de disponibilité, dépendances applicatives, périmètre et volume de données concernées. Ce travail initial évite les angles morts et permet de dimensionner un dispositif cohérent avec les enjeux de l’établissement, sans surdimensionner ni sous-estimer.
Sauvegardes externalisées et stockage à froid : deux réponses à des besoins distincts
La stratégie de protection des données dans un établissement de santé repose sur deux mécanismes complémentaires que Niwanet met en place et opère dans la durée.
Sauvegardes externalisées
Les sauvegardes sont externalisées dans un datacenter secondaire distant d’au moins 400 kms du site de production principal. Cette séparation géographique garantit l’indépendance entre production et sauvegarde en cas de sinistre localisé (panne électrique régionale, intempéries…). Les machines virtuelles sont répliquées quotidiennement. Les fichiers et bases de données font l’objet de sauvegardes quotidiennes avec une politique de rétention définie selon les contraintes de l’établissement. Le dispositif est supervisé en continu et fait l’objet de tests de restauration planifiés pour garantir l’exploitabilité réelle des sauvegardes, pas seulement leur existence.
Stockage à froid
Dans les établissements de santé, les volumes de données augmentent structurellement : historiques applicatifs, archives, sauvegardes longue durée, exigences réglementaires de conservation. Maintenir l’ensemble de ces données sur des environnements de stockage actifs génère des coûts disproportionnés et des surfaces d’exposition inutiles.
Le stockage à froid permet de déplacer les données rarement consultées ou les archives vers un mode de conservation adapté, moins coûteux et moins exposé, tout en maintenant leur intégrité et leur accessibilité lorsqu’elles sont nécessaires. Niwanet dimensionne et opère ce dispositif en cohérence avec la stratégie de sauvegarde globale, pour que la gestion des volumes croissants ne devienne pas un problème d’exploitation.
Un dispositif intégré, pas une somme de briques
La valeur d’un hébergement santé sérieux ne tient pas à l’accumulation de certifications et de services. Elle tient à la cohérence du dispositif dans son ensemble et à la capacité du prestataire à l’opérer dans la durée. Une prestation non adaptée mais certifiée n’est pas pertinente ni efficace au quotidien.
La supervision alimente la gestion des incidents.
La maintenance MCO et MCS préserve la stabilité et le niveau de sécurité.
Les sauvegardes externalisées et le PRA s’articulent avec les SLA définis.
Le tout est piloté via des COPIL réguliers et formalisé dans une matrice RACI qui clarifie les responsabilités entre l’établissement et Niwanet.
Cette intégration est particulièrement utile pour les DSI et responsables techniques qui n’ont pas vocation à gérer la complexité d’infrastructure au quotidien. Elle l’est aussi pour les directions qui ont besoin de lisibilité sur le niveau de protection réel de leur système d’information, sans avoir à décoder un empilement technique.
Échanger sur vos enjeux d’hébergement santé avec un expert Niwanet
Hébergement HDS pour établissements de santé
Seuls les environnements qui hébergent des données de santé à caractère personnel sont soumis à l’obligation HDS. Un site vitrine institutionnel, par exemple, n’y est pas soumis. En revanche, toute application manipulant des données patients l’est. Un échange de cadrage permet d’identifier précisément quels environnements relèvent du périmètre HDS.
Le référentiel HDS est divisé en plusieurs couches. OVHcloud couvre les couches d’hébergement physique : sites physiques, infrastructure matérielle. Niwanet couvre les couches infogéreur : plateforme d’hébergement, infrastructure virtuelle, administration du système d’informations et sauvegardes externalisées. Les deux certifications sont complémentaires et couvrent ensemble les 6 niveaux requis par la norme HDS.
Le stockage à froid permet de conserver des données rarement consultées (archives, historiques, anciennes sauvegardes) sur un environnement de conservation moins coûteux et moins exposé que le stockage actif. Dans les établissements de santé où les volumes augmentent structurellement, c’est un levier d’optimisation des coûts et de maîtrise de la surface de stockage, sans compromis sur l’intégrité ou l’accessibilité des données.
Le plan de reprise d’activité est dimensionné en fonction des objectifs de RPO et RTO définis avec l’établissement selon la criticité de chaque service. Le dispositif s’appuie sur la réplication complète des VMs et sur des sauvegardes de fichier externalisées. Des tests de restauration sont planifiés pour vérifier l’exploitabilité réelle du dispositif, avec un reporting remis à l’établissement.
Oui. Niwanet accompagne les migrations depuis des environnements non certifiés, avec un cadrage préalable sur les impacts techniques, les délais et les contraintes spécifiques au contexte HDS de l’établissement.