MGEN certifié ISO 27001 par l’AFNOR, pour la sécurité de ses données de santé
La certification ISO 27001 obtenue par MGEN couvre le périmètre de la sécurité de l’hébergement des données de santé. La norme ISO 27001 définit les exigences pour la mise en place d'un système de management de la sécurité de l'information et les mesures de sécurité permettant de garantir la protection des actifs du Groupe. MGEN, mobilisé depuis de nombreuses années sur les questions de sécurité informatique, atteint ainsi les standards les plus élevés dans ce domaine en répondant aux exigences de la norme. Une grande satisfaction pour les équipes de la DSI, qui marque une 1ère certification ISO.

02 mai 2018


La DSI MGEN met à disposition des établissements de santé des outils informatiques et des logiciels qui traitent de données médicales. Auparavant, conformément aux lois et réglementations en vigueur, pour avoir le droit de disposer et d’héberger les données de santé de ses patients, la DSI du groupe était dans l’obligation d’avoir un agrément délivré par l’ASIP Santé. Obtenu en 2013, elle le renouvelait tous les 3 ans. Or depuis 2018, les modalités se sont renforcées. Les Hébergeurs de Données de Santé doivent disposer d’un certificat HDS dont l’une des premières conditions est la certification ISO 27001.

C’est pourquoi, le groupe MGEN a démarré ce projet de certification en janvier 2017 avec un objectif de certification au 1er trimestre 2018. Un audit à blanc initial a permis d’établir que le groupe MGEN avait déjà atteint 84% des exigences de la norme. La mise en conformité s’est traduite par des travaux complémentaires principalement liés à la définition et mise en œuvre du processus d’amélioration continue.

« La certification ISO 27001 nous a permis d’étudier la sécurité de l’hébergement de nos données de santé, d’identifier les risques et de mettre en place des mesures pour s’assurer de leur bonne maîtrise. Un résultat qui, aujourd’hui, récompense les efforts déployés ces derniers mois et qui vient rassurer nos patients ; leurs données de santé sont hébergées en France et bénéficient de fortes mesures de sécurisation. À moyen terme, nous envisageons d’ailleurs l’extension de la certification à l’ensemble des données du groupe » explique Vincent Dussaucy, Directeur des Systèmes d'Information du groupe MGEN.

Pour ce projet, la DSI a constitué une équipe dédiée et mobilisé l’ensemble des collaborateurs. La norme ISO 27001 inclut à la fois la sécurité informatique ou logique (ex : sur les postes de travail) que la sécurité physique (ex : sur les data centers).

Le groupe MGEN a retenu l’AFNOR pour sa certification ISO 27001, tel qu’il l’avait fait pour la certification Qualité de Service de ses centres de services. Cet organisme certificateur est reconnu pour ses hautes exigences et la qualité de ses audits. Pendant 6 jours, les auditeurs de l’AFNOR ont examiné en profondeur le système mis en place par la DSI et n’ont constaté aucune non-conformité. Le 28 février 2018, le groupe MGEN recevait officiellement la certification ISO 27001 de l’AFNOR.

« Nous n’allons pas nous arrêter là. L’obtention de l’ISO 27001 est un premier pas vers la certification HDS. L’enjeu est de pouvoir anticiper et d’être en avance sur la démarche règlementaire, pour conserver l’hébergement des données de nos patients au sein du Groupe » ajoute Vincent Dussaucy avant de confier que « Dans le même esprit, nous travaillons parallèlement sur la norme ISO 20000, orientée qualité de services informatiques, avec un objectif de certification à fin 2018 et, nous prétendrons à l’obtention de la certification HDS pour la fin d’année 2019 ».