Comment vos documents patients sont chiffrés (et pourquoi c'est crucial)
"Vos données sont chiffrées." Vous avez lu cette phrase des dizaines de fois. Mais qu'est-ce que ça veut dire concrètement ? Et surtout, est-ce que tous les chiffrements se valent ?
Chez FranceOrdo, on pense que la transparence sur la sécurité n'est pas optionnelle quand on manipule des données de santé. Voici comment fonctionne notre chiffrement, expliqué sans jargon.
Le chiffrement, en 30 secondes
Imaginez un coffre-fort. Vous y placez un document, vous le verrouillez avec une clé unique, et seule cette clé peut l'ouvrir. Le chiffrement numérique fonctionne sur le même principe :
- Le document (ordonnance, carte de mutuelle) est transformé en une suite de caractères illisibles
- La clé de chiffrement est le seul moyen de retrouver le document original
- Sans la clé, le fichier est inutilisable, même si quelqu'un y accède
La différence avec un coffre-fort physique ? Un bon chiffrement numérique est mathématiquement inviolable avec la technologie actuelle.
AES-256 : le standard mondial
FranceOrdo utilise AES-256-GCM. Décortiquons.
AES (Advanced Encryption Standard) est l'algorithme de chiffrement utilisé par les banques, les gouvernements et les armées du monde entier. C'est le standard recommandé par l'ANSSI.
256 correspond à la taille de la clé : 256 bits. Pour casser cette clé par force brute, il faudrait plus de temps que l'âge de l'univers. Même avec tous les ordinateurs du monde travaillant ensemble.
GCM (Galois/Counter Mode) ajoute une couche de vérification. En plus de chiffrer, il garantit que le document n'a pas été modifié. Si quelqu'un tente de modifier un fichier chiffré, le déchiffrement échouera.
Ce qui rend notre approche robuste
Un vecteur d'initialisation (IV) unique par fichier
Chaque document est chiffré avec un IV généré aléatoirement. Même si deux patients envoient exactement le même document, les fichiers chiffrés seront complètement différents.
Pourquoi c'est important ? Si le même document produisait toujours le même résultat chiffré, un attaquant pourrait repérer des motifs. L'IV unique élimine ce risque.
Les métadonnées de chiffrement dans S3
L'IV et le tag d'authentification sont stockés dans les métadonnées du fichier sur S3, séparément de la clé de chiffrement. C'est le principe de la séparation des secrets : même en accédant au stockage, on n'a pas de quoi déchiffrer.
Un accès par URL signée temporaire
Quand vous consultez un document dans le back-office FranceOrdo, une URL signée temporaire est générée, valide 1 heure. C'est comme un badge visiteur : accès précis, temps limité, désactivé automatiquement.
Le parcours d'un document, du téléphone au back-office
1. Sur le téléphone du patient
Le document est compressé côté navigateur pour optimiser l'envoi, puis transmis en HTTPS (connexion chiffrée).
2. À la réception
Le serveur valide le fichier : type, taille, format. Si tout est bon, il le place dans une file d'attente sécurisée.
3. Traitement en arrière-plan
Le serveur sanitise le fichier, génère un IV unique, chiffre avec AES-256-GCM, envoie vers le stockage sécurisé (infrastructure HDS), et met en cache pour consultation rapide.
4. Consultation par le pharmacien
Le document est déchiffré à la volée. Vous voyez le document original. Mais il n'est jamais stocké en clair sur le serveur.
5. Suppression automatique
Après 24 heures, le document chiffré est supprimé du stockage, de la base de données et du cache. Il n'en reste aucune trace.
Comparaison : email vs FranceOrdo
| Critère | Email classique | FranceOrdo |
|---|---|---|
| Chiffrement en transit | ✗ Partiel (pourquoi) | ✓ HTTPS systématique |
| Chiffrement au repos | ✗ Non | ✓ AES-256-GCM |
| Hébergement | ✗ Non certifié HDS | ✓ Certifié HDS |
| Durée de conservation | ✗ Illimitée | ✓ 24h automatique |
| Contrôle d'accès | ✗ Mot de passe boîte mail | ✓ Session authentifiée |
| Intégrité vérifiée | ✗ Non | ✓ Oui (GCM auth tag) |
En résumé
- AES-256-GCM est le standard de chiffrement le plus robuste, utilisé par les banques et les gouvernements
- Chaque document a un vecteur d'initialisation unique
- Les documents ne sont jamais stockés en clair et sont supprimés après 24h
- L'accès se fait par URL signée temporaire (1h de validité)
- C'est l'ensemble du processus (chiffrement + HDS + suppression + contrôle d'accès) qui assure la protection
Vous voulez voir ce que ça donne côté pharmacien ? Le back-office, le document chiffré, la suppression à 24h. Testez avec vos propres documents.
Essayer FranceOrdo gratuitement pendant 45 jours