Accueil | News | Protéger vos données : les enjeux de la cybersécurité, du RGPD et de l’hébergement
#news

Protéger vos données : les enjeux de la cybersécurité, du RGPD et de l’hébergement

Dans le monde numérique d’aujourd’hui, les données sont devenues l’or noir du 21ème siècle et encore plus dans le secteur de la santé où ces données sont particulièrement sensibles et précieuses. Les cyberattaques, qu’elles soient sophistiquées ou non, ciblent ces données en cherchant à exploiter les moindres failles de nos systèmes. Elles sont omniprésentes, visent toutes les entreprises, avec une préférence pour les TPE et PME, et les conséquences peuvent être graves, comme des atteintes à la réputation, des pertes financières irréversibles, ou encore l’impossibilité d’une reprise d’activité.

Les startups se trouvent ainsi confrontées à un triple défi : innover tout en assurant la sécurité et le stockage des données qu’elles traitent. Quelles sont les exigences et process qui participent à la protection des données et favorisent la pérennité des entreprises ? 

Le Règlement Général sur la Protection des Données (RGPD) 

Entré en vigueur en 2018, il a révolutionné la manière dont les données personnelles sont traitées et protégées en Europe. Une des principales notions introduites par le RGPD est celle d’un accès strict aux données personnelles. Cela signifie qu’une entreprise ne doit collecter et traiter uniquement les données strictement nécessaires, sur la base d’obligations légales spécifiques telles que le consentement des individus. De plus, il introduit le concept de responsabilité en matière de sécurité des données car il impose aux entreprises de prendre conscience de la qualification de la donnée, de la manière dont elle la collecte et la traite. Le RGDP accorde aussi aux individus le droit d’accès, de rectification et de suppression de leurs données, renforçant ainsi le contrôle et la confidentialité des données personnelles.  

En cas de non-respect du RGPD, des sanctions peuvent être imposées par la CNIL qui est le gardien de compliance en France. Elle a le pouvoir de suspendre les activités d’une entreprise, et d’appliquer des amendes, à un certain pourcentage du chiffre d’affaires. 

L’hébergement de ses données 

L’hébergement sécurisé des données est un aspect crucial de la cybersécurité, et particulièrement dans le secteur de la santé. Une entreprise qui traite de la donnée a pour obligation de la stocker sur des serveurs agréés, et plus spécifiquement dans des HDS certifié ISO 27001 pour la donnée de santé. Cette certification est longue et coûteuse à obtenir, il existe donc des hébergeurs spécialisés qui permettent aux startups de bénéficier de mesures de sécurité avancées, et de se concentrer sur leur cœur de métier. 

L’hébergement des données instaure aussi le principe de souveraineté des données selon lequel les données numériques sont soumises à la législation du pays où elles sont stockées. Par exemple, une société française hébergeant des données aux USA ou a un prestataire américain, est soumise à la loi Patriot Act, qui permet au gouvernement d’accéder, sans mandat judiciaire, aux données détenues par cette entreprise. Le choix de la localisation de son hébergeur peut donc représenter un réel enjeu commercial.  

Sécurité des systèmes d’information 

Autrement dit, la cybersécurité qui implique tous les mécanismes pour protéger les systèmes d’information permettant de traiter la donnée. Les derniers rapports montrent que les attaques sont de plus en plus opportunistes, elles ciblent les entreprises les moins bien préparées et on recense, en 2021, une attaque par semaine sur des entreprises du secteur de la santé pour qui la donnée est capitale et peut se revendre cher. Dans 80% du temps les attaques partent du phishing et sont donc liées à une faille humaine. 55% utilisent des défauts de configuration ( comme des mots de passe trop faibles ), 20% sont des vulnérabilités qui n’ont pas été patchées et 13% sont dues à des failles qui n’avaient pas encore été découvertes.

La cybersécurité n’est pas une cible statique mais un processus dynamique d’amélioration continue qui doit être construit selon la méthodologie PDCA (plan, do, check, act). Elle ne repose pas sur une barrière infranchissable, mais sur des actions de sensibilisation, la mise en place d’un système multicouches qui complique la vie du hacker et les mesures de continuité et de reprise d’activité. Outre les obligations réglementaires, telles que la PGSSI-S pour les entreprises de santé (ensemble de référentiels obligatoire et guides de bonnes pratiques), la cybersécurité devient indispensable d’un point de vue commerciale et pour des investisseurs. La mise en place de NIS 2 est aussi une mesure de renforcement obligatoire européen qui entrera en vigueur en courant 2025. 

En conclusion, notre ère numérique représente un réel défi pour la sécurité des données. En respectant les exigences du RGPD, en mettant en place des mesures de sécurité, mêmes simples (telles que l’analyse de risque et la sauvegarde) et en choisissant des partenaires hébergeurs de donnée fiables, les startups renforcent leur intégrité, résilience, leur pouvoir commercial, et la confiance dans l’écosystème de santé numérique. Le gouvernement étant conscient de l’enjeu de la cybersécurité, et pour protéger nos entreprises, a mis en place des financements pour aider les entrepreneurs, dès le début de leur activité. 

Afin de respecter au mieux ces exigences, Eurasanté s’est entouré de plusieurs partenaires, chacun expert de sa thématique :

Partenaire RGPD 

Hébergeur de données 

Cybersécurité

Article rédigé par :

ALICE GAUZIT AMIEL 

Start-up manager Santé Numérique et référente sécurité économique

prendre contact

Je voudrais recevoir des invitations à des événements sur les thèmes suivants :