,

Des données bien protégées : comment nous avons mis à l’épreuve FHIR Station avec des tests d’intrusion

Chez Amaron, la sécurité des données médicales est notre priorité et nécessite autant de précautions que possible. C’est pourquoi, début 2026, nous avons invité les experts en sécurité externe d’Orange Cyberdefense à réaliser un test d’intrusion (penetration test) de notre solution FHIR Station.

Qu’est-ce qu’un test d’intrusion ?

Un test d’intrusion est une cyberattaque simulée et autorisée sur un système informatique, un réseau ou une application. Son objectif est d’identifier les failles de sécurité, exactement comme le ferait un hacker malveillant, mais en gardant le contrôle total de l’opération.

Nous avons fourni aux experts d’Orange Cyberdefense les outils et les autorisations nécessaires pour lancer des attaques sur nos systèmes de l’intérieur comme de l’extérieur, dans le but de repérer des points de vulnérabilité avant qu’un véritable hacker ne puisse le faire lui-même.

Qu’avons-nous testé ?

  • Les fondations (le serveur) :
    Nous avons récemment mis à niveau nos systèmes vers une nouvelle base plus robuste (Debian 13). Les experts ont réalisé un test White Box, qui consiste à disposer d’un accès complet pour examiner le système en profondeur. L’objectif était de vérifier l’optimisation du serveur en termes de sécurité (hardened) et sa résistance aux fuites de données.
  • L’application (FHIR Station) :
    Nous avons testé le traitement par FHIR Station des demandes de données. Nous voulions ainsi nous assurer à 100 % qu’un utilisateur connecté au compte A ne puisse jamais consulter les données du compte B, même en tentant de tromper le système. Nous avons évalué l’usurpation d’identité, la corruption de données et même les tentatives de saturation dans le but de provoquer un crash système.

Une sécurité robuste confirmée

Le résultat a été très positif. Aucun problème critique ni vulnérabilité significative facilement exploitable n’a été détecté. Les experts n’ont relevé que quelques éléments d’amélioration mineurs (niveaux medium et low), principalement concernant des paramètres techniques que nous avons ajustés entre-temps.

Les testeurs ont spécifiquement souligné 7 points positifs pour lesquels nos mesures de sécurité ont fonctionné exactement comme prévu, même sous pression.

Pourquoi est-ce important pour votre organisation de soins ?

En faisant appel à un acteur indépendant d’envergure mondiale comme Orange Cyberdefense pour l’audit de FHIR Station, nous améliorons votre capacité à respecter les réglementations telles que le RGPD et la directive NIS2. Nous garantissons ainsi que vos données circulent de manière fluide entre les médecins et les hôpitaux, mais restent invisibles et inaccessibles par ailleurs.

Avez-vous des questions ?

N’hésitez pas à nous contacter.

Nous contacter