C'est l'un des mythes les plus dangereux de la HealthTech. Un porteur de projet — souvent un expert métier brillant (médecin, pharmacien, entrepreneur) — décide de créer une solution logicielle. Il se renseigne sur la réglementation et découvre qu'il faut être conforme HDS (Hébergement de Données de Santé). Il souscrit alors à une offre cloud certifiée HDS (AWS, OVH, Azure), coche la case mentale "Sécurité", et lance ses développements. C'est une erreur fondamentale qui coûte des centaines de milliers d'euros.

Ce que beaucoup ignorent, c'est le modèle de "responsabilité partagée". Oui, le datacenter de votre fournisseur est certifié. Ses serveurs physiques sont gardés par des badges biométriques, ses disques durs sont chiffrés et ses baies sont ignifugées. Votre fournisseur garantit la sécurité DU cloud. Mais vous êtes responsable de la sécurité DANS le cloud.

Si votre application contient une faille d'injection SQL, une API mal configurée, ou une authentification sans limitation de tentatives, le serveur HDS ne vous protégera pas. Le hacker entrera par la porte de votre application, avec des droits légitimes, et exfiltrera les données.

La conformité HDS 2.0 ou ISO 27001 ne s'achète pas avec une carte bancaire chez un hébergeur cloud. Elle exige des preuves formelles, une analyse de risques (EBIOS RM), et l'application stricte de dizaines de contrôles. Par exemple, le référentiel HDS exige à lui seul 52 contrôles spécifiques sur les données de santé en France.

Quand vient le jour de l'audit pour prouver votre conformité, ou le jour où vous mandatez un expert en cybersécurité pour vérifier votre application avant sa mise en production, la réalité frappe. Découvrir que l'architecture entière doit être refondue car la traçabilité des accès (audit trail) n'a pas été pensée dès le premier jour est une tragédie financière. La sécurité n'est pas un patch qu'on applique à la fin d'un projet. C'est la fondation sur laquelle on le construit. On appelle cela le Security by Design. Si elle n'est pas dans le code dès le premier commit, elle vous coûtera dix fois plus cher à intégrer plus tard.

← Retour aux Insights