Sécurité éprouvée pour les services de santé numériques
Roche assure la protection des données et des infrastructures de santé grâce à un ensemble de mesures administratives, techniques et organisationnelles physiques. L’entreprise surveille activement les menaces et réagit immédiatement en cas de vulnérabilité. Son système de management de la sécurité de l’information certifié ISO/CEI 27001 garantit la conformité aux lois et aux normes du secteur.
Nos collaborateurs, processus et technologies œuvrent ensemble pour préserver la confidentialité, l’intégrité, la disponibilité des données et la conformité avec les normes et les réglementations applicables.
Roche estime que la transparence est la clé pour instaurer la confiance. La page consacrée à la sécurité des produits est votre point de référence pour obtenir des informations essentielles en matière de cybersécurité et de confidentialité des données en lien avec nos solutions.
Dans le cadre de la stratégie de défense en profondeur de Roche, les équipes produit classifient les données, analysent les risques et réalisent des modélisations des menaces tout au long des phases de développement et de commercialisation. Ces efforts permettent d’identifier les exigences relatives aux contrôles techniques nécessaires pour garantir la conformité aux lois et réglementations, aux normes et aux politiques de Roche.
navify–les solutions hébergées sont protégées par un pare-feu cloud sur la plateforme navify . Si une solution navify est déployée sur site, le client est responsable des contrôles de sécurité.
Depuis le 1er mai 2019, Roche impose l’utilisation d’un pare-feu matériel dédié, géré par ses soins, pour certains instruments de laboratoire. Celui-ci permet d’établir un réseau de laboratoires Roche micro-segmenté, indispensable au respect de la réglementation ainsi qu’à la sécurité des patients, et qui apporte les avantages suivants :
Assure une protection de base et permet à Roche de surveiller les cybermenaces.
Met en place une zone sécurisée et isolée pour les opérations, renforçant ainsi la résilience du système.
Permet, à distance, d’accéder au système, d’effectuer des mises à jour logicielles et de répondre aux incidents de cybersécurité potentiels.
Normes de protection des données
Les fonctions de sécurité peuvent varier d’une solution à une autre. Si vous souhaitez obtenir de plus amples informations au sujet d’un produit, veuillez contacter votre représentant Roche.
Les produits navify intègrent diverses mesures et politiques de sécurité conçues pour réduire au minimum les vulnérabilités et les risques d’attaque.
Roche sécurise les données au repos/en transit grâce à un chiffrement conforme aux normes du secteur. Le chiffrement permet de réduire le risque de violation de données.
Roche recourt à une stratégie de défense en profondeur pour sécuriser les accès. Cela comprend les protocoles de gestion des mots de passe, l’authentification multifacteurs et les contrôles d’accès basés sur les rôles (RBAC).
Roche s’associe à des sociétés telles qu’AWS pour héberger et sécuriser ses solutions numériques. Nous exigeons de tous nos prestataires de services partenaires qu’ils recourent à l’anonymisation, à la pseudonymisation ou à des mesures de protection de la vie privée équivalentes.
Roche propose des options d’hébergement flexibles (sur site ou basées sur le cloud) pour les solutions navify afin de répondre aux besoins spécifiques de chaque région, en accordant la priorité à la sécurité des patients et au respect des réglementations locales.
Pour l’hébergement cloud, Roche s’associe à des fournisseurs de renom, garantissant ainsi une gestion sécurisée des données tout au long de leur cycle de vie, dans le respect des lois internationales en matière de protection des données, tout en laissant le contrôle aux clients.
En tant que partenaire de confiance, Roche :
élabore des contrats pour définir les modalités de traitement des données ;
communique en toute transparence sur les flux de données et les finalités de leur utilisation ;
demande le consentement des clients pour que employés de Roche puissent accéder à leurs données ;
respecte les lois et réglementations en vigueur.
En ce qui concerne les solutions Roche devant être hébergées chez le client, quelques points essentiels sont à prendre en compte :
Il est obligatoire d’utiliser le pare-feu validé par Roche pour protéger les instruments de Roche*.
Pour tous les environnements d’hébergement qui doivent rester en dehors du pare-feu de Roche, le client est responsable de toutes les mesures de sécurité liées à l’ensemble du matériel et des logiciels qui ne sont pas fournis par Roche.
Les contrats élaborés par Roche énonceront clairement les obligations de chacune des parties afin de garantir la conformité, tant pour Roche que pour ses clients.
* Les solutions logicielles de Roche basées sur le cloud (navify et solutions d’analyse à proximité du patient) sont exemptées de cette obligation d’installer un pare-feu physique.
De nombreux clients de Roche bénéficient des avantages offerts par les technologies cloud et choisissent d’héberger les solutions navify sur la plateforme navify . Les solutions basées sur le cloud de Roche :
offrent des mesures de sécurité conformes aux normes du secteur afin de garantir la confidentialité, l’intégrité et la disponibilité des données ;
sont configurées et gérées à l’aide d’outils et de services conformes aux lois, aux réglementations et aux normes du secteur ;
font l’objet d’une surveillance continue grâce à des solutions techniques et automatisées, dans le but de détecter et de prévenir les incidents de cybersécurité.
La sécurité et la conformité des solutions navify tout au long de leur cycle de vie sont gérées par un système de gestion de la qualité, lequel s’appuie en grande partie sur le système de management de la sécurité de l’information (SMSI) de Roche, certifié ISO/CEI 27001. Ce SMSI définit les exigences minimales obligatoires en matière de sécurité, garantissant ainsi le respect des lois, des réglementations et des normes du secteur.