Le CREDIM, labellisé plateforme de recherche de l’Université de Bordeaux en 2019, assure les services suivants : l’hébergement des bases de données de santé dans un environnement spécifique, la gestion du système, du réseau et du parc matériel (600 postes de travail et 130 serveurs physiques et serveurs virtuels), le développement des solutions informatiques sur mesure pour la recherche en Santé Publique, la mise à disposition et l’administration de moyens de calcul (s’appuyant sur 10 serveurs dédiés au calcul dont le plus puissant (Turing) comporte 8 lames de 40 cœurs chacune), la gestion et la sécurisation du parc matériel informatique, et l’enseignement à distance.
Le domaine de la Santé Publique nous conduit à héberger et à traiter des données de santé particulièrement sensibles. Le RGPD (Règlement Général de Protection des Données Personnelles), mais aussi tous les règlements gouvernementaux tels que la PGSSI‑S (Politique Générale de Sécurité des Systèmes d’Information de Santé) ou les normes en vigueur au niveau international (ISO 27001) imposent des exigences sur la sécurisation de ces données. Parmi ces exigences, figurent le PIA (Privacy Impact Assessment) et l’analyse de risques. Le PIA permet d’évaluer l’impact sur la vie privée d’un accès non autorisé à des données personnelles. L’analyse de risques nous permet d’évaluer la sensibilité de l’infrastructure aux risques d’attaque ou d’intrusion dans le réseau et les équipements informatiques. Ces deux aspects sont complémentaires et nécessitent des analyses approfondies sur les failles potentielles, tant sur les points organisationnels que techniques. Des mesures constantes de renforcement de la sécurité et des pratiques sont indispensables. Le Responsable de la Sécurité de l’Information CREDIM assure le pilotage de la sécurité.
Nous sommes confrontés en permanence à ces risques. Pour y lutter, une activité constante a été mise en œuvre en 2018. Une veille opérationnelle et réglementaire spécialisée en sécurité des données sensibles et de santé (CNIL, RGPD, SNDS), des logiciels de contrôle, de chiffrement ou de supervision sont mis en place.
Pour l’ensemble des collaborateurs du BPH, plusieurs formalisations d’engagements sont en place et mises à jour régulièrement pour la protection des données : politique de sécurité, engagement de service, politique de parc, charte d’engagement utilisateur.
Le CREDIM est labellisé ECRIN (European Clinical Research Infrastructures Network).