Glossaire

Définitions des termes utilisés dans le comparateur HDS. Toutes les définitions sont sourcées (références aux textes officiels, normes, agences). Pour signaler une imprécision : comparateur-hds [at] muona [point] fr.

HDS (Hébergeur de Données de Santé): Certification française obligatoire pour héberger des données de santé à caractère personnel. Encadrée par le Décret 2018-137 du 26 février 2018 et le référentiel ANS. Le scope HDS couvre 6 activités (1: mise à disposition matérielle, 2: mise à disposition virtuelle, 3: mise à disposition systèmes applicatifs, 4: administration des SI, 5: sauvegarde externalisée, 6: archivage).
ANS (Agence du Numérique en Santé): Agence publique française qui pilote la transformation numérique du système de santé. Gère le référentiel HDS et la liste officielle des hébergeurs certifiés.
ISO 27001: Norme internationale de management de la sécurité de l'information (SMSI). Définit les exigences pour un système de gestion documenté, mesurable et auditable. Très répandue, base socle de la cybersécurité B2B.
SecNumCloud: Qualification ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) pour le cloud souverain français. Référentiel v3.2. Plus exigeante que ISO 27001 sur les volets souveraineté juridique (immunité aux lois extraterritoriales), localisation des données et personnel.
DORA (Digital Operational Resilience Act): Règlement UE 2022/2554. Entrée en application 17 janvier 2025. Vise à renforcer la résilience opérationnelle digitale du secteur financier UE. Concerne les CSP via les contrats avec leurs clients régulés financiers.
NIS2 (Network and Information Security 2): Directive UE 2022/2555 entrée en vigueur 16 janvier 2023, transposition nationale en cours dans les États membres. Élargit le périmètre NIS1 à plus de secteurs (santé, transport, eau, etc.) et impose obligations de sécurité et reporting d'incidents.
ISO 42001: Norme internationale de management de l'intelligence artificielle (AIMS). Publiée fin 2023. Cadre de gouvernance IA. Référentiel encore peu adopté, mais sera attendu par les régulateurs sur le périmètre AI Act UE.
AI Act: Règlement UE 2024/1689 sur l'IA. Adopté 13 juin 2024. Classification des systèmes IA par risque (interdit, haut risque, risque limité, risque minimal). Application progressive 2025-2027.
ExpertCyber: Label français AFNOR / cybermalveillance.gouv.fr pour les prestataires cyber de proximité (PME, ETI). Audit annuel. Visible sur cybermalveillance.gouv.fr/resultat-recherche-prestataire.
HIPAA (Health Insurance Portability and Accountability Act): Loi américaine 1996 sur la protection des données de santé. Applicable pour héberger des données de santé de patients US. Pas un équivalent strict du HDS.
Cloud Act US: Loi américaine 2018 (Public Law 115-141). Permet aux autorités américaines de demander à toute entreprise sous juridiction US de communiquer des données détenues à l'étranger. Disqualifie les hyperscalers US (AWS, Azure, Google Cloud) pour les acteurs européens exigeant souveraineté juridique stricte.
Air-gap end-to-end: Chaîne complète d'un système où aucune donnée ne transite par l'Internet public, à aucune étape, entre le poste client et le datacenter. Nécessite généralement fibre privée (MPLS, fibre noire) OU APN mobile privé + cloud souverain + IA locale. Différenciation forte vs souveraineté juridique seule.
MSSP (Managed Security Service Provider): Prestataire de services de sécurité managés. Typiquement opère le SOC (Security Operations Center) du client : supervision SIEM, détection incidents, réponse, threat hunting.
SOC (Security Operations Center): Centre opérationnel de sécurité. Surveillance 24/7 (ou heures ouvrées selon contrat) des événements de sécurité. Internalisé ou externalisé via MSSP.
PCA / PRA: Plan de Continuité d'Activité (PCA) et Plan de Reprise d'Activité (PRA). Le PCA maintient l'activité en mode dégradé en cas de sinistre ; le PRA reconstruit après sinistre. Mesurés par RTO (Recovery Time Objective) et RPO (Recovery Point Objective).
Sauvegarde immuable / WORM: Sauvegarde dont les fichiers ne peuvent être ni modifiés ni supprimés pendant une durée donnée (Write Once Read Many). Protection ultime contre les rançongiciels qui chiffrent les sauvegardes. Implémentations : S3 Object Lock, LTO WORM, ZFS snapshots immuables.
Cloud souverain: Cloud dont la souveraineté juridique est garantie : capital, droit applicable, personnel et infrastructure localisés dans le même périmètre national / européen. Concept français/européen, sans équivalent US.
5G privée: Réseau 5G d'entreprise dédié, distinct du réseau public. Bandes 26 GHz (n258), 3,5 GHz (n78) ou 2,3 GHz selon licences. Utilisé en industrie 4.0, hôpitaux, ports, mines, agriculture connectée.
APN privé (Access Point Name): APN dédié sur le réseau mobile permettant d'isoler le trafic data des SIM d'une entreprise. Adressage IP privé, pas d'accès Internet par défaut, supervision centralisée. Base d'une chaîne air-gapped mobile.
RAG (Retrieval-Augmented Generation): Architecture IA combinant un LLM avec une base de connaissances vectorisée. Le LLM répond en s'appuyant sur les documents propres au client, sans réentraînement. Solution recommandée pour LLM en environnement santé/sensible.
LLM (Large Language Model): Modèle de langage de grande taille (Mistral, Llama, GPT, Claude, Qwen, etc.). Pour les acteurs santé/sensibles, LLM auto-hébergé (open source sur cloud souverain) plutôt que LLM commercial via API.
Datacenter Tier: Classification Uptime Institute. Tier I (basique), Tier II (composants redondés), Tier III (redondance maintenance, disponibilité 99,982%), Tier IV (tolérance aux pannes, disponibilité 99,995%). Beaucoup de datacenters HDS sont Tier III ou III+.