Phylapp
Interopérabilité et circulation sécurisée des données de santé

Les défis liés à la multiplicité des systèmes et formats

La multiplicité des systèmes et formats dans les SI de santé (HL7 v2, CDA, FHIR) amplifie les risques. La standardisation progressive et le catalogue des versions sont des leviers clés de réduction des risques.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 25 lectures

Points clés

  • La multiplicité des systèmes et des formats dans les SI de santé est une source de complexité technique qui amplifie les risques de sécurité et les coûts de gestion.
  • La coexistence de formats legacy (HL7 v2, CDA) et modernes (FHIR R4) crée des zones de friction où les mécanismes de sécurité sont souvent les moins bien maîtrisés.
  • La standardisation des formats d'échange est un facteur de réduction des risques — mais sa mise en œuvre doit intégrer la sécurité dès la conception, pas comme une couche ajoutée après.
  • La gestion de la multiplicité impose une discipline de catalogage et de gouvernance des formats, intégrée dans le schéma directeur du SI de santé.
Cas US SolarWinds (complexité des composants) — L'attaque SolarWinds a exploité la complexité des chaînes de dépendances logicielles — des composants nombreux, de versions différentes, dont certains étaient difficiles à auditer. Dans les SI de santé, la même complexité existe avec les formats d'échange : des parseurs HL7 v2 anciens, des transformateurs CDA parfois développés en interne, et des serveurs FHIR de versions différentes coexistent dans le même SI. Chacun de ces composants a ses vulnérabilités propres, difficiles à gérer globalement.

La coexistence de formats legacy et modernes

Les SI de santé matures cumulent des années de stratification technologique. Des interfaces HL7 v2.3 de 2005 coexistent avec des APIs FHIR R4 déployées en 2022. Des documents CDA R2 générés par un DPI côtoient des bundles FHIR consommés par une application mobile. Chacun de ces formats a ses spécificités de sécurité, ses vulnérabilités connues, et ses exigences de validation. Maintenir un niveau de sécurité homogène sur cet écosystème hétérogène est l'un des défis les plus complexes de la gouvernance de la sécurité des SI de santé.

Les risques spécifiques aux parseurs et transformateurs

Les composants qui transforment les données d'un format à l'autre (HL7 v2 vers FHIR, CDA vers FHIR) sont des points de vulnérabilité documentés. Ces parseurs manipulent des données structurées qui peuvent contenir des charges malveillantes : injections XML dans les transformateurs CDA (attaques XXE), injections dans les parseurs HL7 v2, ou dépassements de tampon dans des parseurs développés en interne. La validation des entrées doit être implémentée avant et après chaque transformation — pas uniquement en entrée du système.

La gestion des versions : un défi de sécurité

La multiplicité des versions d'un même format (FHIR R3, FHIR R4, FHIR R5) implique des mécanismes de validation différents, des profils différents, et des niveaux de maturité des implémentations différents. Maintenir une cartographie des versions en production et des vulnérabilités connues de chaque version est une discipline qui s'ajoute à la gestion des versions de composants logiciels classiques. Le passage de FHIR R3 à R4 n'est pas uniquement une migration fonctionnelle — c'est également une mise à jour de sécurité qui corrige des vulnérabilités identifiées dans les spécifications précédentes.

Cas EU British Airways (complexité des systèmes tiers) — L'injection de code malveillant dans le site de British Airways a été facilitée par la complexité des dépendances JavaScript tierces chargées par le site — des composants nombreux, de versions diverses, dont un a été compromis. Dans les SI de santé, la même logique s'applique aux composants logiciels des interfaces d'échange : plus le nombre de composants est élevé, plus la surface d'attaque potentielle l'est aussi. La réduction de la complexité — standardisation sur des composants validés et maintenus — est une stratégie de réduction des risques.

La standardisation comme stratégie de réduction des risques

La migration progressive vers des standards modernes — FHIR R4, IHE XDS.b, MSSanté — présente des avantages de sécurité tangibles : meilleure documentation des spécifications de sécurité, implementations open source auditées et maintenues par des communautés actives, meilleures pratiques de sécurité intégrées dans les spécifications. Cette migration doit être planifiée dans le schéma directeur du SI de santé, avec une priorisation des interfaces les plus critiques et les plus exposées. Elle ne doit pas être conduite uniquement pour des raisons fonctionnelles — la sécurité doit être un critère de priorisation explicite.

Gouverner la multiplicité

À défaut de pouvoir supprimer immédiatement la multiplicité des formats et des systèmes, elle doit être gouvernée. Un catalogue des formats et des versions en production, maintenu à jour, permet de visualiser la complexité et de piloter sa réduction progressive. Des standards de sécurité applicables à tous les formats, quel que soit leur âge (chiffrement, authentification, journalisation), permettent de maintenir un niveau minimum homogène. Et un programme de décommissionnement planifié des interfaces legacy les plus risquées permet de réduire la surface d'attaque dans la durée.

Cas Asie Samsung (gestion de la complexité logicielle) — Samsung Electronics gère une complexité logicielle considérable dans ses produits connectés — de nombreux formats, protocoles et composants coexistant dans le même écosystème. Le groupe a structuré une approche de Software Bill of Materials (SBOM) permettant de cartographier l'ensemble des composants logiciels et de piloter les vulnérabilités associées. Cette approche, recommandée par l'ANSSI et la directive NIS2, est directement applicable à la gestion de la complexité des formats d'échange dans les SI de santé.

Articles similaires

La circulation des données de santé impose un niveau de sécurité inédit

La circulation des données de santé impose des exigences de sécurité spécifiques : chiffrement en transit et au repos, authentification forte, contrôle d'accès RBAC, et journalisation exhaustive.

24 mai 2026 7 min

Pourquoi l’interopérabilité élargit la surface de risque des organisations de santé

L'interopérabilité en santé (FHIR, HL7, IHE) élargit la surface d'attaque. Chaque interface est un vecteur potentiel exigeant qualification des partenaires, inventaire et surveillance active des flux.

24 mai 2026 7 min

Les erreurs fréquentes dans l’échange d’informations médicales

Les erreurs dans l'échange d'informations médicales sont récurrentes : tokens à durée excessive, absence de validation des entrées, comptes partagés et interfaces de maintenance non sécurisées.

24 mai 2026 7 min
WhatsApp