Phylapp
Interopérabilité et circulation sécurisée des données de santé

Les enjeux de traçabilité dans les systèmes interconnectés

La traçabilité dans les systèmes de santé interconnectés est une exigence réglementaire et un outil de détection. La corrélation des logs multi-sources via SIEM et l'intégrité des journaux sont indispensables.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 13 lectures

Points clés

  • La traçabilité des accès aux données de santé dans des systèmes interconnectés est à la fois une exigence réglementaire et un outil indispensable de détection des incidents.
  • La qualité d'une traçabilité se mesure à sa complétude, son intégrité, son accessibilité, et sa capacité à être exploitée pour détecter des comportements anormaux.
  • Dans un environnement multi-systèmes, la corrélation des logs de sources différentes est le défi principal de la traçabilité — elle nécessite une infrastructure centralisée.
  • La traçabilité doit être maintenue même en mode dégradé — un incident qui désactive la journalisation laisse l'organisation aveugle sur ses propres systèmes.
Cas US Yahoo (journaux d'audit absents) — L'investigation post-incident sur les violations de Yahoo a été considérablement compliquée par l'absence ou l'insuffisance des journaux d'audit. Les enquêteurs n'ont pu reconstruire que partiellement la chronologie des accès. Dans le domaine de la santé, l'absence de traçabilité complète compromet non seulement la capacité d'investigation post-incident, mais aussi la démonstration de conformité lors des audits RGPD — où l'organisation doit être en mesure de prouver qui a accédé à quelles données et dans quel contexte.

Les exigences de traçabilité dans les référentiels santé

La traçabilité des accès aux données de santé est explicitement exigée par plusieurs référentiels. Le référentiel HDS impose la journalisation des accès aux données hébergées, avec une conservation d'au moins 3 ans. Le référentiel PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) précise les événements à journaliser : authentifications réussies et échouées, accès aux données patients, modifications des droits d'accès, et actions d'administration. Ces journaux doivent être intègres (non modifiables a posteriori), disponibles, et exploitables dans des délais raisonnables lors d'une investigation.

La corrélation des logs dans un environnement multi-systèmes

Dans un environnement d'échange multi-systèmes, la corrélation des logs de sources différentes est indispensable pour détecter des incidents complexes. Un attaquant qui utilise un compte légitime pour accéder à plusieurs systèmes successivement ne sera détecté que si les logs de chaque système peuvent être mis en relation. Un SIEM (Security Information and Event Management) centralise les logs de l'ensemble des sources — API Gateway, serveur FHIR, DPI, pare-feux, VPN — et permet d'appliquer des règles de corrélation qui détectent les patterns d'attaque traversant plusieurs systèmes.

Les événements prioritaires à journaliser

Dans les systèmes d'échange de données de santé, les événements prioritaires à journaliser sont : les authentifications (succès et échecs), les accès aux ressources de données patients (avec l'identifiant du ressource FHIR, l'identité du demandeur, et la finalité déclarée si disponible), les modifications des configurations de sécurité, les erreurs systèmes pouvant signaler une tentative d'exploitation, et les activités d'administration des comptes et des droits. Ces événements doivent être horodatés avec une référence temporelle sûre (NTP synchronisé) pour permettre la reconstruction de chronologie lors d'une investigation.

Cas EU Marriott/Starwood (traçabilité des accès) — La violation héritée de Starwood avait débuté dans des systèmes dont les logs n'avaient pas été correctement centralisés après l'acquisition. Marriott n'avait pas une visibilité complète sur les accès aux systèmes Starwood. Dans le contexte de la santé, les fusions et acquisitions d'établissements créent les mêmes lacunes de traçabilité : les logs des systèmes acquis ne sont pas intégrés dans le SIEM central, créant des angles morts dans la détection.

L'intégrité des journaux : une exigence fondamentale

Des journaux qui peuvent être modifiés par un attaquant n'offrent aucune garantie de traçabilité. L'intégrité des journaux doit être assurée par des mécanismes techniques : envoi des logs en temps réel vers un serveur de journalisation central séparé (auquel les systèmes sources n'ont pas d'accès en écriture), signature cryptographique des entrées de log, et détection des lacunes de journalisation (plages temporelles sans entrée). Un attaquant qui ne peut pas modifier les logs sait que ses actions sont traçables — ce qui a un effet dissuasif et facilite l'investigation post-incident.

Exploiter les journaux pour la détection préventive

La journalisation n'a de valeur que si elle est exploitée. Des règles de détection configurées dans le SIEM permettent de détecter des comportements anormaux en temps réel : volume d'accès à des ressources patient anormalement élevé, accès à des ressources hors du périmètre habituel d'un compte, connexions depuis des plages IP inhabituelles, ou séquences d'accès correspondant à des patterns d'exfiltration documentés. Ces règles doivent être adaptées au contexte de santé — les patterns normaux y diffèrent significativement d'autres secteurs.

Cas Asie Sony Pictures (journaux insuffisants) — L'investigation post-incident chez Sony Pictures a été limitée par l'insuffisance des journaux disponibles. Des mois d'activité des attaquants n'ont pu être reconstitués que partiellement. Dans le domaine de la santé, une investigation incomplète faute de journaux peut non seulement limiter la compréhension de l'incident, mais aussi rendre impossible la démonstration aux régulateurs que toutes les données potentiellement affectées ont été identifiées — une obligation réglementaire clé.

Articles similaires

La circulation des données de santé impose un niveau de sécurité inédit

La circulation des données de santé impose des exigences de sécurité spécifiques : chiffrement en transit et au repos, authentification forte, contrôle d'accès RBAC, et journalisation exhaustive.

24 mai 2026 7 min

Pourquoi l’interopérabilité élargit la surface de risque des organisations de santé

L'interopérabilité en santé (FHIR, HL7, IHE) élargit la surface d'attaque. Chaque interface est un vecteur potentiel exigeant qualification des partenaires, inventaire et surveillance active des flux.

24 mai 2026 7 min

Les erreurs fréquentes dans l’échange d’informations médicales

Les erreurs dans l'échange d'informations médicales sont récurrentes : tokens à durée excessive, absence de validation des entrées, comptes partagés et interfaces de maintenance non sécurisées.

24 mai 2026 7 min
WhatsApp