Phylapp
Interopérabilité et circulation sécurisée des données de santé

Les risques liés aux accès externes aux données médicales

Les accès externes aux données médicales (télétravail, partenaires, prestataires) sont des vecteurs d'attaque prioritaires exigeant MFA résistant au phishing, moindre privilège et surveillance comportementale.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 13 lectures

Points clés

  • Les accès externes aux données médicales — professionnels en télétravail, partenaires, prestataires, applications patients — sont des vecteurs d'attaque privilégiés qui doivent être sécurisés avec une rigueur particulière.
  • L'authentification forte (MFA) est indispensable pour tout accès externe à des données de santé — les seuls mots de passe ne suffisent pas.
  • Le principe du moindre privilège doit s'appliquer strictement aux accès externes : chaque acteur externe n'accède qu'aux données strictement nécessaires à sa mission.
  • La surveillance des accès externes doit être plus intensive que celle des accès internes — les comportements anormaux s'y manifestent plus facilement.
Cas US Uber (accès distant compromis) — L'attaque de 2022 contre Uber a commencé par la compromission d'un accès VPN d'un contractant via une attaque de fatigue MFA — l'attaquant a envoyé des demandes d'authentification répétées jusqu'à ce que le contractant accepte par erreur. Dans le contexte de la santé, les accès distants des prestataires de maintenance et des professionnels en télétravail présentent le même type de risque. La résistance aux attaques de fatigue MFA nécessite des mécanismes d'authentification résistants au phishing (FIDO2/passkeys) plutôt que des OTP par SMS.

Les catégories d'accès externes et leurs risques

Les accès externes aux données médicales se déclinent en plusieurs catégories aux niveaux de risque différents. Les accès des professionnels de santé en télétravail : ils accèdent aux données avec les mêmes droits que sur site, depuis un réseau et un poste moins contrôlés. Les accès des prestataires de maintenance des SI : souvent larges pour permettre l'intervention technique, peu ou pas surveillés en dehors des heures ouvrées. Les accès des partenaires via API : automatisés, mais pouvant être compromis si les credentials sont exposés. Les accès patients via les portails : larges en nombre, exposés au phishing et aux identifiants faibles.

L'authentification forte : standard minimum non négociable

L'authentification forte (MFA — Multi-Factor Authentication) est le standard minimum pour tout accès externe à des données de santé. Le facteur supplémentaire peut être un OTP via une application d'authentification (TOTP), un token hardware (FIDO2/passkey), une notification push avec validation biométrique, ou un certificat client. Les SMS OTP sont à déconseiller pour les accès les plus critiques — ils sont vulnérables aux attaques SIM swapping. Pour les accès aux données les plus sensibles, des mécanismes résistants au phishing (FIDO2) sont recommandés par l'ANSSI.

Le contrôle d'accès conditionnel

Le contrôle d'accès conditionnel permet d'adapter le niveau d'authentification requis en fonction du contexte d'accès. Un accès depuis un appareil connu, connecté au réseau de l'établissement, pendant les heures normales d'activité, peut se satisfaire d'un facteur simple. Le même accès depuis un appareil inconnu, depuis un pays inhabituel, en dehors des heures normales d'activité, doit déclencher une authentification renforcée ou un blocage. Cette approche — qui applique des contrôles proportionnés au risque réel de chaque accès — est le standard des grandes organisations de santé numériques.

Cas EU British Airways (accès tiers non surveillé) — L'accès non autorisé qui a conduit à la violation de données de British Airways est passé par des scripts tiers chargés sans contrôle suffisant. Dans le contexte de la santé, les accès de maintenance des prestataires — souvent réalisés via des outils de prise en main à distance sur des sessions peu surveillées — présentent un risque comparable. Chaque session de maintenance externe doit être journalisée complètement, avec enregistrement de la session si possible, et révoquée immédiatement à la fin de l'intervention.

La gestion du cycle de vie des accès externes

Les accès externes doivent suivre un cycle de vie rigoureux. La création d'un accès doit être formellement demandée et approuvée, avec une justification documentée, une durée limitée, et des droits définis selon le principe du moindre privilège. La revue des accès doit être réalisée périodiquement — tous les 3 mois pour les accès prestataires. La révocation doit être immédiate à la fin de la mission ou du projet. Ces processus doivent être automatisés autant que possible — la révocation manuelle est une source d'oublis documentée.

La surveillance des accès externes

La surveillance des accès externes doit être plus intensive que celle des accès internes. Les indicateurs de comportement anormal sont plus faciles à définir pour les accès externes, dont les patterns normaux sont plus homogènes. Des alertes sur les connexions hors des horaires habituels, depuis des pays non attendus, avec des volumes de données consultés inhabituels, ou avec des tentatives d'accès à des ressources hors du périmètre habituel doivent être configurées et traitées en temps réel.

Cas Asie SingHealth (accès compromis) — La violation de SingHealth a été conduite via un compte d'accès compromis dont les droits étaient suffisamment larges pour accéder à la base de données patients. L'absence de détection comportementale sur cet accès — le volume de données consultées était anormalement élevé mais non surveillé — a permis à l'attaquant d'extraire des données pendant plusieurs mois. La surveillance comportementale des accès, y compris des accès légitimes, aurait détecté cette anomalie bien plus tôt.

Articles similaires

La circulation des données de santé impose un niveau de sécurité inédit

La circulation des données de santé impose des exigences de sécurité spécifiques : chiffrement en transit et au repos, authentification forte, contrôle d'accès RBAC, et journalisation exhaustive.

24 mai 2026 7 min

Pourquoi l’interopérabilité élargit la surface de risque des organisations de santé

L'interopérabilité en santé (FHIR, HL7, IHE) élargit la surface d'attaque. Chaque interface est un vecteur potentiel exigeant qualification des partenaires, inventaire et surveillance active des flux.

24 mai 2026 7 min

Les erreurs fréquentes dans l’échange d’informations médicales

Les erreurs dans l'échange d'informations médicales sont récurrentes : tokens à durée excessive, absence de validation des entrées, comptes partagés et interfaces de maintenance non sécurisées.

24 mai 2026 7 min
WhatsApp