Points clés
- Un dispositif d'interopérabilité insuffisamment sécurisé présente des signaux identifiables lors d'un audit ou d'une revue technique — avant qu'un incident ne les révèle.
- Ces signaux sont de nature technique, documentaire et organisationnelle — ils ne nécessitent pas d'expertise très pointue pour être identifiés lors d'un audit.
- La détection précoce de ces signaux permet une remédiation maîtrisée, bien moins coûteuse qu'une remédiation post-incident.
- Un audit de l'interopérabilité doit faire partie du cycle de maintenance des SI de santé, au même titre que les audits de conformité HDS.
Signal 1 : absence de documentation des interfaces actives
L'absence d'un inventaire documenté et maintenu des interfaces actives est le premier signal d'un dispositif d'interopérabilité insuffisamment gouverné. Sans cet inventaire, il est impossible de savoir quels systèmes échangent des données avec lesquels, via quels protocoles, et avec quels contrôles de sécurité. Des interfaces legacy peuvent subsister sans responsable identifié, avec des authentifications obsolètes ou des canaux non chiffrés. L'audit commence toujours par la reconstruction de cet inventaire — souvent révélatrice.
Signal 2 : flux non chiffrés en production
La détection de flux de données de santé non chiffrés en production est un signal critique. Elle peut se faire via une analyse du trafic réseau (capture sur les segments concernés) ou via l'audit de la configuration des connecteurs. Les messages HL7 v2 transmis en clair sur des connexions MLLP sans TLS, les flux HTTP non sécurisés, ou les transferts FTP de fichiers contenant des données médicales non chiffrées sont des non-conformités majeures au regard des exigences HDS et du RGPD.
Signal 3 : comptes d'accès non revus depuis plus de 6 mois
La présence de comptes d'accès aux interfaces d'échange (comptes de service, comptes applicatifs, comptes partenaires) qui n'ont pas fait l'objet d'une revue depuis plus de 6 mois est un signal organisationnel fort. Ces comptes peuvent appartenir à des partenaires dont la relation a évolué, à des projets terminés, ou à des systèmes désactivés. Leur maintien actif constitue une surface d'exposition non nécessaire. Une revue périodique des droits d'accès, avec désactivation des comptes non justifiés, est une pratique élémentaire souvent insuffisamment mise en œuvre.
Signal 4 : absence de tests de sécurité récents
L'absence de tests de sécurité réalisés dans les 12 derniers mois sur les interfaces d'échange actives est un signal de gouvernance insuffisante. Les interfaces évoluent, les composants logiciels sont mis à jour (introduisant potentiellement de nouvelles vulnérabilités), les partenaires changent leurs systèmes. Un test de sécurité réalisé lors de la mise en production d'une interface il y a trois ans ne couvre pas l'état actuel de l'interface. Une revue annuelle de sécurité des interfaces d'échange doit être un standard non négociable.
Signal 5 : journaux d'audit incomplets ou non supervisés
L'audit des journaux de l'interface d'échange révèle souvent des signaux préoccupants : des plages de temps sans enregistrement (signalant des lacunes de journalisation), des volumes d'accès sans variation (signalant une journalisation partielle), ou des entrées de journal sans horodatage cohérent (signalant une manipulation possible). Des journaux techniquement présents mais non supervisés — personne ne les consulte en dehors des audits — constituent une quasi-absence de traçabilité opérationnelle.