padoa a été conçu en plaçant la sécurité et la protection des données au cœur du logiciel.
Saïfane Farfar, membre de l’équipe dédiée à l’ingénierie de la fiabilité et à la sécurité des sites chez padoa, a accepté de répondre à nos questions et de vous présenter la manière dont son équipe veille à la stabilité et au bon fonctionnement des serveurs de production du logiciel padoa.
Je travaille dans l’équipe dédiée à l’ingénierie de la fiabilité et à la sécurité des sites. Notre but est d’assurer la stabilité et le bon fonctionnement des serveurs de production du logiciel padoa. Pour cela, nous devons notamment :
Je suis également le Responsable de la sécurité opérationnelle. À ce titre, je dois m’assurer que padoa met bien en place toutes les mesures de sécurité nécessaires pour répondre aux exigences des normes ISO 27001/HDS (Hébergeur de Données de Santé) et ISO 27701 auxquelles le logiciel padoa répond. Afin de conserver ces certifications, nous sommes audités chaque année et l’auditeur ne doit pas trouver de non-conformité. Cela nous permet d’être dans une démarche de sécurité et d’amélioration continue en accord avec la norme.
L’infrastructure du logiciel padoa a beaucoup évoluée depuis ses débuts et l’accent a toujours été mis sur la sécurité. Nous avons notamment mis en place de nombreux processus ainsi que des points de contrôle afin de vérifier que les normes de sécurité soient bien respectées.
De plus, sur le plan des données, les données stockées sont chiffrées et donc rendues illisibles à tout utilisateur externe. Les données sont également redondées (le fait que des données identiques soient disponibles dans différentes bases), géo-répliquées sur différents serveurs afin d’éviter qu’elle ne puissent être perdues et sauvegardées plusieurs fois par jour. Enfin, les points d’accès au logiciel par les utilisateurs sont également sécurisés grâce à une identification forte avec un mot de passe robuste et une double authentification.
Nous mettons également en place un certain nombre d’outils afin de s’assurer que l’infrastructure du logiciel puisse bien supporter l’ensemble des actions ainsi que le trafic journalier des utilisateurs.
Le choix d’être certifié HDS est structurant et offre les meilleures garanties à nos clients, tant au niveau de la sécurité qu'au niveau de la qualité de service. Nos équipes d’ingénieurs peuvent ainsi directement piloter l’ensemble des systèmes d’information, contrôler leur niveau de performance et intervenir immédiatement pour garantir la disponibilité de la plateforme en toutes circonstances. Par exemple, en mettant à disposition davantage de serveurs durant les périodes de déclaration pour prévenir tout ralentissement.
Pour être certifié HDS, il faut déjà être certifié ISO 27001 et répondre à 155 critères de disponibilité, intégrité, confidentialité, traçabilité des données ainsi que répondre à une méthodologie et organisation spécifiques.
Nous avons également obtenu la certification ISO 27701 en 2024, relative à la gouvernance et à la mise en place des mesures de sécurité pour les traitements de données personnelles.
Afin de conserver ces certifications, nous sommes audités tous les ans pour vérifier que nous respectons bien les différents critères. Nous pouvons alors être certains que nous suivons les bonnes pratiques et que nos systèmes sont sûrs et aux normes.
Notre plus gros challenge est de continuer à faire évoluer l’infrastructure du logiciel. Nous pouvons ainsi accueillir un nombre croissant d’utilisateurs et proposer un nombre grandissant de fonctionnalités tout en continuant à offrir un service hautement disponible, performant et sécurisé.
Nous devons également veiller à être aux normes sur les différents sujets qui sont audités lors des contrôles qui sont effectués sur le logiciel padoa par un comité de sécurité.
Nous sommes en pleine croissance. Cela implique une augmentation du nombre d’utilisateurs du logiciel padoa. Nous devons donc adapter en continu notre infrastructure afin d’être en mesure d’héberger ces nouveaux utilisateurs.
Nous allons également continuer à avoir différents audits de sécurité dans les mois à venir. Nous devrons veiller à ce que le logiciel padoa soit toujours dans les normes demandées.