Le référentiel HDS de l'Agence du Numérique en Santé (ANS) version 2.0 (mai 2024) découpe l'activité d'hébergement de données de santé en six activités distinctes. Un hébergeur certifié l'est sur tout ou partie de ces 6 activités. C'est le critère le plus structurant du comparateur — c'est lui qui distingue un datacenter pur d'un IaaS, et un IaaS d'un hébergeur managé full.
Confondre les acteurs sur ce critère est l'erreur la plus fréquente sur le marché HDS. Un acteur certifié sur la seule activité 1 (datacenter pur) ne gère pas vos serveurs, ni vos données, ni votre SI. Il fournit les murs, l'électricité, le refroidissement, la sécurité physique — c'est tout. Un acteur certifié sur les activités 5 et 6 est un infogéreur HDS plein : il opère votre SI, le supervise 24/7, le sauvegarde. Entre les deux, un IaaS (activité 4) met à disposition des VM et des conteneurs sans intervenir sur votre applicatif.
Une erreur typique côté acheteur : contracter un datacenter (activité 1) en pensant avoir un hébergeur managé (activités 5+6). Le contrat ne couvre pas l'administration, l'astreinte, le PCA. Une erreur typique côté marketing : revendiquer "sauvegarde immuable HDS" (qui exige activité 6) alors qu'on n'est certifié que sur 1+2. Ce comparateur applique systématiquement la règle de cohérence critère ↔ activité HDS.
Objet : datacenter, alimentation, climatisation, sécurité physique, contrôle d'accès, vidéosurveillance, détection incendie.
Acteurs typiques : exploitants de datacenters (Equinix, Telehouse, Atelka, certains opérateurs France).
Ne permet PAS de : héberger directement des données, gérer du stockage logique, exploiter un SI.
Objet : serveurs physiques, stockage SAN/NAS, équipements réseau, sécurité périmétrique.
Acteurs typiques : fournisseurs IaaS bas niveau, colocation managée.
Ne permet PAS de : fournir du PaaS, exploiter un SI métier, sauvegarder en externalisé.
Objet : OS, bases de données managées, middleware, serveurs d'application, runtimes.
Acteurs typiques : fournisseurs PaaS, hébergeurs de DB managées.
Ne permet PAS de : virtualisation cloud, services managés au sens applicatif.
Objet : VM, conteneurs, Kubernetes managé, réseau virtuel, stockage objet/block virtualisé.
Acteurs typiques : fournisseurs IaaS cloud (OVHcloud, Outscale, Scaleway, Numspot, certains Cloud Temple).
Ne permet PAS de : administration applicative client, sauvegarde managée comme service.
Objet : supervision Tier 2/3, patching applicatif, gestion des accès, hot-line technique métier, gestion des changements applicatifs.
Acteurs typiques : MSSP / hébergeurs managés (Cegedim, Maincare, certains Coreye, Cegedim).
Ne permet PAS de : se contenter de fournir de la VM sans intervention humaine sur le SI.
Objet : backup externe, sauvegarde géo-distribuée, sauvegarde immutable, archivage long terme, plan de reprise.
Acteurs typiques : hébergeurs proposant la sauvegarde comme service géré.
Ne permet PAS de : revendiquer un PCA/PRA managé si activité 5 n'est PAS aussi acquise (PCA/PRA exige 5+6).
Le comparateur applique la règle suivante : un acteur ne peut être "bonifié" sur un critère que si l'activité HDS correspondante est dans son scope certifié ANS. Sinon, soit le service est hors scope HDS (à signaler ⚠), soit il est sous-traité à un acteur HDS sur cette activité (à documenter nommément). Détail :
| Critère | Activité HDS requise |
|---|---|
| Datacenter France exclusivement | Activité 1 (ou délégation à un partenaire HDS certifié activité 1) |
| Plateforme applicative managée (DB, middleware) | Activité 3 |
| Conteneurs / Kubernetes managé | Activité 4 |
| VM IaaS souverain | Activité 4 |
| MSSP / SOC managé | Activité 5 |
| Administration SI déléguée | Activité 5 |
| Hot-line technique métier | Activité 5 |
| Sauvegarde immuable | Activité 6 |
| Sauvegarde offline LTO | Activité 6 |
| Sauvegarde géo-distribuée | Activité 6 |
| PCA / PRA managé | Activités 5 + 6 combinées |