Se conformer à la SPEC 2217
sans la certification HDS.
AST67 devait renouveler un agrément conditionné à la norme AFNOR SPEC 2217. Syncerus a démontré qu’une certification HDS — très coûteuse — n’était pas nécessaire, et réorienté l’effort vers une conformité NIS2 plus adaptée.
Alsace Santé au Travail 67 — médecine du travail du Bas-Rhin
- SPSTI soumis à l’agrément AFNOR SPEC 2217
- Dispense de certification HDS démontrée
- Conformité NIS2 & SMSI formalisé
- Centaines de milliers d’euros économisés
AST67 devait renouveler son agrément, conditionné à la norme AFNOR SPEC 2217. Syncerus a démontré que la coûteuse certification HDS (≈ 350 K€) n’était pas requise dans son cas spécifique, et a réorienté l’effort vers une conformité NIS2 — plus adaptée à un SPSTI — en formalisant un SMSI. Résultat : plusieurs centaines de milliers d’euros économisés et un niveau de sécurité réellement relevé.
Un agrément vital,
une norme exigeante.
AST67 — Alsace Santé au Travail 67 — est le service de prévention et de santé au travail interentreprises (SPSTI) du Bas-Rhin. Son activité dépend d’un agrément, dont le renouvellement est conditionné à la conformité à la norme AFNOR SPEC 2217. Cette norme impose un niveau élevé de maîtrise de la sécurité de l’information — et suggère qu’une certification HDSv2 (Hébergeur de Données de Santé) serait nécessaire.
L’enjeu : la certification HDS représente un investissement très lourd — de l’ordre de 350 000 €, un temps plein mobilisé pendant 1 à 3 ans et une forte sollicitation des équipes. Avant d’engager un tel chantier, il fallait vérifier qu’il était réellement obligatoire.
Vérifier avant d’investir,
puis viser juste.
Étudier l’obligation réelle
Analyse du contexte d’AST67 au regard du cadre HDS et des exigences de la SPEC 2217, pour qualifier précisément ce qui était réellement obligatoire — avant tout engagement budgétaire.
Prouver la dispense de HDS
Démonstration argumentée qu’AST67 relève d’un cas spécifique le dispensant de la certification HDS — rendant inutile un investissement d’environ 350 K€ et un chantier de 1 à 3 ans.
Cap sur le référentiel NIS2
L’énergie est redirigée vers la conformité NIS2, plus adaptée au contexte d’un SPSTI. Elle élève réellement le niveau de maîtrise de la sécurité tout en répondant aux attentes de la SPEC 2217.
Structurer le SMSI
Formalisation d’un système de management de la sécurité de l’information (SMSI) et sensibilisation de l’équipe IT aux nouveaux enjeux cyber, en l’incitant à mieux formaliser ses pratiques.
HDS ou NIS2 : pourquoi NIS2 dans le cas d’AST67 ?
| Critère | Certification HDSv2 | Conformité NIS2 |
|---|---|---|
| Coût | ≈ 350 000 € + 1 temps plein sur 1 à 3 ans | Une fraction du coût |
| Adéquation au SPSTI | Pensée pour les hébergeurs de données de santé | Adaptée au contexte d’un service de santé au travail |
| Apport sécurité | Forte, mais centrée sur l’hébergement | Élève la maîtrise globale et formalise un SMSI |
| Réponse à la SPEC 2217 | Suggérée, mais non obligatoire ici | Répond aux exigences de sécurité du référentiel |
La conformité visée,
au juste coût.
- Des centaines de milliers d’euros économisés en évitant une certification HDS non nécessaire (≈ 350 K€ + 1 temps plein sur 1 à 3 ans).
- Une solution réaliste pour obtenir la certification SPEC 2217 et sécuriser le renouvellement de l’agrément, indispensable à l’activité.
- Un niveau de sécurité relevé et une équipe IT sensibilisée aux nouveaux enjeux de la cybersécurité, incitée à mieux formaliser ses pratiques.
- Un SMSI formalisé, base durable de la gouvernance de la sécurité de l’information.
Voir aussi : conformité NIS2 · conseil cybersécurité · réconcilier la DSI, les métiers et la Direction.
Sécurité, conformité :
les questions clés.
Qu’est-ce que la norme AFNOR SPEC 2217 ?
C’est un référentiel qui conditionne l’agrément des services de prévention et de santé au travail interentreprises (SPSTI). Il impose notamment un niveau de maîtrise de la sécurité de l’information, et suggère qu’une certification HDS pourrait être nécessaire.
Pourquoi AST67 a-t-il pu éviter la certification HDS ?
Une étude menée par Syncerus a démontré qu’AST67 relevait d’un cas spécifique le dispensant de l’obligation de certification HDS. Cet investissement — de l’ordre de 350 000 €, avec un temps plein mobilisé pendant 1 à 3 ans — n’était donc pas requis.
Pourquoi NIS2 plutôt que HDS ?
Le référentiel NIS2 est plus adapté au contexte d’un SPSTI. Il permet d’élever réellement le niveau de maîtrise de la sécurité et de formaliser un SMSI, tout en répondant aux exigences de la SPEC 2217 — pour une fraction du coût d’une certification HDS.
Combien AST67 a-t-il économisé ?
Plusieurs centaines de milliers d’euros, en évitant une certification HDS non nécessaire (environ 350 K€, hors mobilisation interne d’un temps plein sur 1 à 3 ans).
Une obligation de conformité
à objectiver ?
HDS, NIS2, SPEC 2217, ISO 27001… Avant d’engager un chantier coûteux, vérifions ensemble ce qui est réellement obligatoire pour votre structure — et la voie la plus efficace pour y répondre.