Phylapp
Interopérabilité et circulation sécurisée des données de santé

Comment maîtriser les flux entre établissements et systèmes

Maîtriser les flux de données de santé entre établissements nécessite cartographie, qualification de la légitimité, sécurisation proportionnée et supervision en production.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

Points clés

  • La maîtrise des flux de données de santé entre établissements et systèmes repose sur une approche méthodique : inventaire, classification, sécurisation et supervision.
  • Chaque flux doit être documenté, justifié par un besoin métier légitime, et sécurisé avec des mesures proportionnées à la sensibilité des données échangées.
  • Les flux non justifiés ou non documentés sont des vulnérabilités potentielles — ils doivent être identifiés et supprimés ou maîtrisés.
  • La maîtrise des flux est un processus continu, pas un projet ponctuel : les flux évoluent avec l'organisation et les systèmes.
Cas US Colonial Pipeline (2021) — La compromission de Colonial Pipeline a débuté par un accès via un VPN dont les flux n'étaient pas correctement surveillés. Dans le domaine de la santé, les connexions VPN des partenaires et des prestataires accédant aux SI sont des flux qui doivent être rigoureusement inventoriés, limités au strict nécessaire, et surveillés en temps réel. Un accès VPN inutilisé depuis des mois mais toujours actif constitue un risque similaire à celui qui a permis l'attaque de Colonial.

Étape 1 : cartographier les flux existants

La première étape est la cartographie exhaustive des flux actifs. Cette cartographie doit identifier pour chaque flux : les systèmes source et destination, le protocole d'échange (HL7, FHIR, SFTP, API REST), les données échangées et leur sensibilité, la fréquence d'échange, les credentials utilisés, et les contrôles de sécurité en place. Cette cartographie révèle systématiquement des flux inconnus des équipes IT — mis en place directement par les équipes métiers, des partenaires, ou lors de projets anciens — qui constituent des angles morts potentiels.

Étape 2 : qualifier chaque flux par sa légitimité et sa sensibilité

Chaque flux identifié doit être qualifié selon deux dimensions. Sa légitimité : existe-t-il une justification métier documentée et toujours d'actualité pour ce flux ? Qui en est responsable ? Est-il couvert par les accords contractuels avec le partenaire concerné ? Sa sensibilité : quelles données sont échangées ? Quel est leur niveau de sensibilité (données de santé, données identifiantes, données anonymisées) ? Les mesures de sécurité en place sont-elles proportionnées à cette sensibilité ? Les flux sans justification ou sans responsable identifié doivent être suspendus dans l'attente d'une décision.

Étape 3 : sécuriser les flux selon leur niveau de sensibilité

Les mesures de sécurité à mettre en œuvre dépendent du niveau de sensibilité des données échangées. Pour les données de santé à caractère personnel : chiffrement TLS 1.3 en transit, chiffrement des données au repos, authentification forte des systèmes (certificats mutuels ou tokens OAuth2 de courte durée), validation des données entrantes, et journalisation exhaustive. Pour les données statistiques anonymisées : des mesures moins strictes peuvent être proportionnées, à condition que l'anonymisation soit vérifiée et non réversible.

Cas EU SNCF (gestion des flux opérationnels) — La gestion des flux opérationnels de SNCF, articulant des centaines de systèmes ferroviaires, illustre les défis de maîtrise des flux dans une organisation à infrastructures critiques. La mise en place d'une supervision centralisée des flux, avec segmentation des niveaux de criticité et surveillance différenciée, est une approche applicable aux SI de santé dont la complexité d'échange est comparable.

Étape 4 : superviser les flux en production

La maîtrise des flux ne s'arrête pas à leur sécurisation initiale. Une supervision en production est nécessaire pour détecter les anomalies : volumes d'échange inhabituels, horaires d'accès hors plages normales, erreurs d'authentification répétées, accès à des ressources non habituelles. Cette supervision peut être implémentée via un SIEM avec des règles de corrélation spécifiques aux flux de santé, ou via un outil de surveillance des APIs avec des alertes configurées sur les seuils définis lors de la cartographie.

Maintenir la cartographie dans la durée

Les flux évoluent constamment : nouveaux projets, nouvelles intégrations, changements de partenaires, évolutions de SI. La cartographie initiale se dégrade rapidement si elle n'est pas maintenue. Un processus formel de mise à jour doit être défini : tout nouveau flux doit être enregistré avant sa mise en production, tout flux supprimé doit être documenté et fermé dans la cartographie. Des revues périodiques (semestrielles ou annuelles) permettent de détecter les flux apparus en dehors de ce processus et de régulariser la situation.

Cas Asie Toyota (supply chain numérique) — La maîtrise des flux entre Toyota et ses milliers de fournisseurs est un défi comparable à celui des SI de santé multi-établissements. Toyota a développé une approche de qualification systématique des flux tiers, avec des exigences de sécurité contractuellement définies et vérifiées. Cette approche — cartographie, qualification, sécurisation, supervision — est directement transposable à la gestion des flux entre établissements de santé et leurs partenaires numériques.

Articles similaires

La circulation des données de santé impose un niveau de sécurité inédit

La circulation des données de santé impose des exigences de sécurité spécifiques : chiffrement en transit et au repos, authentification forte, contrôle d'accès RBAC, et journalisation exhaustive.

24 mai 2026 7 min

Pourquoi l’interopérabilité élargit la surface de risque des organisations de santé

L'interopérabilité en santé (FHIR, HL7, IHE) élargit la surface d'attaque. Chaque interface est un vecteur potentiel exigeant qualification des partenaires, inventaire et surveillance active des flux.

24 mai 2026 7 min

Les erreurs fréquentes dans l’échange d’informations médicales

Les erreurs dans l'échange d'informations médicales sont récurrentes : tokens à durée excessive, absence de validation des entrées, comptes partagés et interfaces de maintenance non sécurisées.

24 mai 2026 7 min
WhatsApp