Les établissements de santé migrent progressivement leur infrastructure d'imagerie diagnostique vers des environnements basés sur le cloud. Des centres d'imagerie indépendants aux réseaux hospitaliers multisites, les plateformes Cloud PACS remplacent les modèles de stockage sur site traditionnels. Les avantages sont considérables : il peut évoluer selon vos besoins, les utilisateurs peuvent y accéder de n'importe où, la collaboration est facilitée et il permet de mieux gérer les problèmes.
Malgré cela, une inquiétude revient constamment lors des réunions et des discussions sur les plans technologiques :
Quelle est la sécurité du stockage cloud pour l'imagerie médicale ?
Les fichiers d'imagerie médicale ne sont pas des ensembles de données ordinaires. Les études DICOM contiennent des informations de santé protégées (PHI), des interprétations diagnostiques, des horodatages, des métadonnées d'appareils et des identifiants de patients. Une faille n'est pas qu'un problème technique. Cela implique également de faire face à des pénalités financières et à une atteinte à notre réputation. Cela peut véritablement perturber les soins que nous prodiguons aux patients. Lorsque la sécurité fait défaut dans un environnement de soins de santé, cela nuit à la confiance que les patients nous accordent. Cela peut nous empêcher de faire correctement notre travail. Une violation, dans le domaine de la santé, est un problème majeur car elle affecte la confiance des patients et notre fonctionnement quotidien.
Historiquement, de nombreuses institutions assimilaient le contrôle physique des serveurs sur site à une plus grande sécurité. Le fait est que, lorsque l'on observe la manière dont les systèmes informatiques sont protégés de nos jours, on constate que la proximité physique ne garantit pas la protection. L'analyse de cybersécurité moderne le démontre clairement. La proximité physique ne signifie pas que vous êtes protégé, pour vos systèmes informatiques. Les analyses en cybersécurité sont très claires à ce sujet. La sécurité est déterminée par l'architecture, l'application du chiffrement, la gouvernance des accès, les contrôles de surveillance et le respect de la conformité — et non par l'emplacement du serveur.
La grande question est de savoir si l'environnement cloud est configuré et géré correctement. Nous devons nous assurer que l'environnement cloud est sécurisé. L'essentiel est de savoir si l'environnement cloud est réellement sécurisé lorsqu'il est configuré, exécuté et géré. L'environnement cloud est-il sécurisé ?
• Le stockage cloud pour l'imagerie peut être très sécurisé. Il peut être plus sécurisé que les systèmes traditionnels que nous avons dans nos propres bureaux lorsque nous le configurons correctement.
• La sécurité du stockage cloud pour l'imagerie dépend de plusieurs facteurs. Elle dépend de la manière dont nous appliquons les règles de chiffrement des données. Elle dépend également des personnes qui ont accès aux données et de la façon dont nous surveillons le système.
• Les vulnérabilités les plus courantes dans les systèmes d'imagerie cloud proviennent d'une mauvaise configuration, d'identifiants faibles ou d'une gouvernance inadéquate — et non de l'infrastructure cloud elle-même.
• La conformité réglementaire exige à la fois des garanties techniques (chiffrement, journalisation d'audit) et des protections contractuelles alignées sur les lois sur les données de santé.
• L'évaluation d'un fournisseur Cloud PACS doit impliquer l'examen de la documentation de sécurité, des certifications, des politiques de résidence des données et de la transparence — sans se fier uniquement aux arguments marketing.
La sécurité dans les environnements d'imagerie médicale basés sur le cloud n'est pas définie par le mot « cloud ». Elle est définie par les garanties techniques et les mécanismes de gouvernance mis en œuvre au sein de cet environnement. Lorsqu'ils sont correctement configurés, les systèmes Cloud PACS modernes offrent une protection robuste. Cette protection est souvent plus forte que les installations sur site.
Les contrôles suivants constituent une infrastructure d'imagerie cloud sécurisée.
Les données d'imagerie médicale stockées dans le cloud doivent être chiffrées au repos à l'aide d'algorithmes standard puissants, tels que l'AES-256. De cette façon, les données d'imagerie médicale seront en sécurité même si quelqu'un accède à notre stockage sans notre permission. Les données d'imagerie médicale seront impossibles à lire sans les clés de déchiffrement correspondantes. Les données resteront sécurisées car les clés cryptographiques sont nécessaires pour les déverrouiller. Ce sont les clés cryptographiques qui rendent nos données sûres.
Le chiffrement au repos protège :
• Les fichiers d'images DICOM
• Les métadonnées du patient
• Les comptes rendus associés
• Les sauvegardes et archives
Un fournisseur de Cloud PACS doit s'assurer que le Cloud PACS est toujours chiffré. Il ne devrait pas vous laisser le choix de chiffrer ou non le Cloud PACS. Le fournisseur de Cloud PACS doit avoir des règles de gestion des clés afin que seules les personnes autorisées puissent déchiffrer le Cloud PACS.
Les données d'imagerie se déplacent fréquemment entre les modalités, les systèmes de stockage, les radiologues et les médecins orienteurs. Pendant la transmission, les données doivent être protégées contre toute interception.
Les systèmes d'imagerie cloud sécurisés utilisent ce qu'on appelle la sécurité de la couche de transport (TLS) pour protéger les données lorsqu'elles circulent. Cela aide à protéger les éléments suivants :
• Téléchargements DICOM
• Téléchargements d'images
• Accès à la visionneuse Web
• Intégrations API
Sans canaux de transmission chiffrés, les études d'imagerie pourraient être vulnérables aux interceptions sur des réseaux non sécurisés. L'utilisation des protocoles de sécurité de la couche de transport permet vraiment de réduire ce risque. Les protocoles TLS rendent les échanges beaucoup plus sûrs.
Toute personne utilisant le système ne devrait pas être en mesure de voir l'ensemble des données d'imagerie médicale. Les données d'imagerie médicale sont extrêmement sensibles. Le contrôle d'accès basé sur les rôles, ou RBAC en abrégé, est un moyen de contrôler qui peut voir quoi. Il limite l'accès aux données d'imagerie médicale en fonction des responsabilités de chaque utilisateur, afin que ces données ne soient disponibles que pour les personnes qui ont réellement besoin de les voir, comme les médecins et le personnel médical qui travaillent avec ces données d'imagerie.
Par exemple :
• Les radiologues peuvent avoir un accès complet au diagnostic.
• Les médecins orienteurs peuvent n'avoir que des droits de lecture seule.
• Le personnel administratif peut avoir un accès restreint aux métadonnées.
En segmentant les autorisations, le RBAC réduit la probabilité d'une utilisation abusive en interne ou d'une exposition accidentelle. Une gouvernance d'accès adéquate est souvent plus critique que l'environnement de stockage lui-même.
La compromission des identifiants reste l'un des points d'entrée les plus courants pour les violations de données de santé. Même des mots de passe forts peuvent être exposés par le biais de hameçonnage ou d'ingénierie sociale.
L'authentification multifacteur (MFA) ajoute une couche de vérification supplémentaire au-delà du nom d'utilisateur et du mot de passe. Cela peut inclure :
• Codes de vérification à usage unique
• Applications d'authentification
• Clés de sécurité matérielles
L'utilisation de l'authentification multifacteur permet vraiment de réduire le risque que des personnes accèdent à des systèmes alors qu'elles ne sont pas censées le faire, en particulier lorsque les personnes travaillent à domicile ou à partir de plusieurs endroits. L'authentification multifacteur est une aide précieuse dans ces situations.
La sécurité ne consiste pas seulement à empêcher que de mauvaises choses ne se produisent. Elle consiste également à pouvoir voir ce qui se passe. Les plateformes Cloud PACS sécurisées doivent conserver des enregistrements détaillés de tout ce qui se passe, ces enregistrements sont comme un journal qui affiche des éléments tels que :
• Activité de connexion
• Accès aux fichiers
• Téléchargements de données
• Modifications des autorisations
• Événements de partage
La surveillance continue permet aux administrateurs de détecter des comportements inhabituels et de réagir rapidement aux incidents potentiels. La journalisation d'audit est également essentielle pour la conformité réglementaire et les enquêtes judiciaires.
Les opérations de santé ne peuvent tolérer de temps d'arrêt prolongé. Les systèmes d'imagerie cloud doivent mettre en œuvre une redondance et une planification de reprise après sinistre pour assurer la continuité des activités.
Les architectures cloud sécurisées fournissent généralement :
• Réplication automatisée des sauvegardes
• Redondance géographique
• Infrastructure à haute disponibilité
• Objectifs de temps de récupération (RTO) définis
Le stockage cloud est vraiment différent du stockage sur un seul site. Lorsque vous configurez un environnement de la bonne manière, il peut faire face à des problèmes tels qu'une panne matérielle, des catastrophes naturelles ou une coupure de courant dans une région. Cela est dû au fait que le stockage cloud ne se trouve pas à un seul endroit, donc si un incident survient à un endroit, le cloud peut continuer à fonctionner. Les environnements cloud peuvent offrir une protection contre ce type de problèmes.
L'infrastructure cloud peut fournir des contrôles de sécurité solides, mais aucun environnement n'est à l'abri des risques. Dans le secteur de la santé, la majorité des incidents de sécurité ne résultent pas de faiblesses inhérentes à l'architecture cloud, mais plutôt d'une mauvaise configuration, d'une utilisation abusive des identifiants ou de lacunes en matière de gouvernance.
Comprendre ces risques vous aide à déterminer si une solution Cloud PACS est réellement sécurisée.
L'une des vulnérabilités les plus courantes dans les environnements cloud est une configuration inadéquate. Des conteneurs de stockage dont les autorisations ne sont pas correctement définies ou des politiques d'accès trop larges peuvent exposer involontairement des données sensibles.
Dans les systèmes d'imagerie médicale, cela pourrait signifier :
• Points de terminaison de stockage publiquement accessibles
• Autorisations utilisateur excessives
• Accès API non restreint
La sécurité cloud dépend fortement d'une configuration correcte et d'un examen continu des politiques. L'utilisation de machines pour vérifier les problèmes de sécurité et le fait d'être très prudent sur qui peut accéder rendent le cloud beaucoup plus sûr. La sécurité cloud est un aspect auquel nous devons penser en permanence.
Les identifiants compromis restent l'une des principales causes de violations de données de santé. Si les utilisateurs s'appuient uniquement sur des mots de passe — en particulier des mots de passe réutilisés ou faibles — les attaquants peuvent obtenir un accès non autorisé par le biais d'un hameçonnage ou de tentatives de force brute.
Dans les endroits où nous prenons des images, si quelqu'un s'empare de nos informations de connexion, il pourrait accéder à des éléments qu'il ne devrait pas pouvoir consulter, comme :
• Études de diagnostic
• Identifiants de patients
• Liens d'imagerie partagés
L'authentification multifacteur, les politiques de rotation des mots de passe et la surveillance des comptes sont des garanties essentielles contre ce vecteur de menace.
Les risques de sécurité ne proviennent pas tous de l'extérieur. Les menaces internes — qu'elles soient intentionnelles ou accidentelles — peuvent également exposer des données d'imagerie sensibles.
Les exemples incluent :
• Utilisateurs disposant de privilèges excessifs accédant à des dossiers inutiles
• Téléchargement inapproprié d'études d'imagerie
• Partage non autorisé en dehors des flux de travail approuvés
Le contrôle d'accès basé sur les rôles et la surveillance de l'activité réduisent la probabilité et l'impact de l'utilisation abusive par des initiés.
Les établissements de santé sont des cibles fréquentes pour les attaques de rançongiciels (ransomwares) en raison de la nature critique des opérations cliniques. Dans les systèmes PACS sur site traditionnels, un rançongiciel peut chiffrer le stockage local et perturber l'accès aux archives d'imagerie.
Les environnements cloud correctement configurés peuvent réellement contribuer à réduire ce risque. Ils le font par :
• Sauvegardes immuables
• Politiques d'accès segmentées
• Surveillance continue
• Capacités de restauration rapide
Cependant, si les pratiques de gouvernance sont faibles, les risques de rançongiciels peuvent toujours se propager via des identifiants compromis ou des terminaux connectés.
La sécurité n'est pas seulement technique — elle est contractuelle et procédurale. Un fournisseur de Cloud PACS qui ne peut pas documenter clairement :
• Normes de chiffrement
• Politiques de résidence des données
• Pratiques de journalisation d'audit
• Certifications de conformité
introduit une incertitude dans le profil de risque.
Les établissements de santé doivent vérifier la documentation de sécurité plutôt que de se fier à des affirmations génériques de « conformité HIPAA » ou de « stockage cloud sécurisé ».
Les discussions sur la sécurité autour de l'imagerie médicale partent souvent d'une hypothèse simpliste : si les serveurs se trouvent physiquement à l'intérieur de l'hôpital, ils doivent être plus sûrs. Dans la pratique, la force de sécurité dépend moins de l'emplacement et davantage de la gouvernance, de la discipline de maintenance et des garanties architecturales.
Les environnements PACS sur site et basés sur le cloud peuvent être sécurisés — ou vulnérables — en fonction de la qualité de la mise en œuvre. Cependant, les réalités opérationnelles de l'informatique de santé moderne ont modifié l'équilibre de sécurité de manière importante.
Vous trouverez ci-dessous une comparaison structurée des facteurs de sécurité clés.
| Facteur de sécurité | PACS sur site | Stockage cloud de base | Cloud PACS d'entreprise |
| Chiffrement au repos | Souvent configurable, peut nécessiter une configuration manuelle | Variable | Appliqué par défaut (par exemple, AES-256) |
| Chiffrement en transit | Peut dépendre de la configuration du réseau interne | Pris en charge mais pas toujours appliqué | Appliqué via une communication sécurisée TLS |
| Contrôle d'accès | Géré localement, risque de permissions excessives | Contrôle utilisateur basique | Contrôle d'accès basé sur les rôles (RBAC) structuré |
| Authentification multifacteur | Pas toujours mise en œuvre | Optionnelle | Généralement prise en charge et recommandée |
| Journalisation d'audit | Peut nécessiter des systèmes distincts | Visibilité limitée | Journalisation et suivi des activités intégrés |
| Sauvegarde et reprise après sinistre | Sauvegarde locale, souvent sur un seul site | Sauvegarde dans le cloud mais architecture limitée | Réplication automatisée géo-redondante |
| Résilience aux rançongiciels | Vulnérable si le stockage local est chiffré | Dépend de la configuration du fournisseur | Inclut souvent des sauvegardes immuables et une restauration rapide |
| Documentation de conformité | Responsabilité interne | Variable | Documentation et certifications fournies par le prestataire |
Les systèmes sur site placent l'entière responsabilité sur l'équipe informatique interne de l'établissement de santé. Cela inclut :
• Sécurité du matériel
• Gestion des correctifs
• Intégrité des sauvegardes
• Segmentation du réseau
• Surveillance continue
Les établissements plus petits peuvent ne pas avoir d'équipes de cybersécurité dédiées pour gérer ces responsabilités selon les normes des grandes entreprises.
En revanche, un environnement Cloud PACS d'entreprise bien conçu bénéficie de :
• Équipes dédiées à la sécurité de l'infrastructure
• Mises à jour et correctifs automatisés
• Redondance intégrée
• Systèmes de surveillance continue
• Contrôles d'authentification évolutifs
Cela ne signifie pas que les systèmes cloud sont automatiquement sécurisés. Cela signifie que lorsque la gouvernance est correctement appliquée, les environnements cloud peuvent offrir des garanties structurées qui dépassent ce que de nombreux systèmes sur site peuvent maintenir sur le long terme.
L'écart de sécurité entre les systèmes cloud et sur site est rarement une question de géographie ; c'est une question de :
• Discipline de configuration
• Politiques de gestion des accès
• Pratiques de surveillance et d'audit
• Alignement sur la conformité
• Transparence des fournisseurs
Un système cloud mal configuré peut être vulnérable. Un système sur site mal entretenu peut être tout aussi — ou davantage — exposé.
Les résultats en matière de sécurité dépendent de l'application des contrôles, et non de l'emplacement du serveur.
La sécurité dans l'imagerie médicale est indissociable de la conformité réglementaire. Les meilleures mesures de sécurité ne suffisent pas si elles ne respectent pas les règles de protection des données de santé et les accords en place.
Le stockage cloud pour l'imagerie doit être sûr, et il doit également répondre aux exigences légales en vigueur pour l'imagerie médicale.
En vertu de la loi HIPAA (Health Insurance Portability and Accountability Act), les données d'imagerie médicale contenant des informations de santé protégées (PHI) doivent être sécurisées par des garanties administratives, physiques et techniques.
Pour les environnements Cloud PACS, cela nécessite généralement :
• Le chiffrement des PHI au repos et en transit
• Des mécanismes de contrôle d'accès
• La journalisation et la surveillance des audits
• Des procédures de notification en cas de violation
• Un accord d'association (BAA - Business Associate Agreement) signé avec le fournisseur de cloud
La conformité est un aspect sur lequel l'établissement de santé et le fournisseur de services cloud doivent travailler conjointement. L'établissement de santé et le fournisseur de cloud doivent partager cette responsabilité pour s'assurer que tout est fait correctement. La conformité fait partie de ce processus et l'établissement de santé comme le fournisseur de services cloud doivent la prendre très au sérieux.
 - Created by PostDICOM.jpg)
En vertu du Règlement Général sur la Protection des Données (RGPD), les données d'imagerie des patients sont classées comme des données personnelles sensibles. Cela introduit des exigences strictes concernant :
• La base légale du traitement
• La minimisation des données
• La transparence de l'accès
• Les délais de signalement des violations
• Les restrictions de transfert de données transfrontalier
Les fournisseurs de Cloud PACS desservant des établissements européens doivent démontrer l'existence de contrôles de protection des données appropriés et définir clairement leurs politiques de résidence des données.
Une considération souvent négligée dans l'imagerie cloud est de savoir où résident physiquement les données. Certaines juridictions imposent des restrictions quant au stockage des données des patients en dehors des frontières nationales.
Les établissements de santé doivent vérifier :
• Les régions géographiques où les données sont stockées
• Si les sauvegardes sont répliquées au-delà des frontières
• Comment les transferts transfrontaliers sont sécurisés
• Si les accords contractuels reflètent les obligations juridictionnelles
La transparence des politiques de résidence des données est un indicateur clé d'une position de sécurité cloud mature.
Les cadres de conformité exigent souvent la conservation des journaux d'accès et des enregistrements d'activité pendant des périodes définies. Les systèmes Cloud PACS sécurisés doivent conserver :
• Des pistes d'audit détaillées de l'activité des utilisateurs
• Les horodatages d'accès
• L'historique d'interaction avec les fichiers
• Les modifications de la configuration administrative
Les enregistrements d'audit sont essentiels non seulement pour les examens réglementaires, mais aussi pour les enquêtes judiciaires en cas d'incident de sécurité.
Un concept central de la gouvernance de la sécurité dans le cloud est le modèle de responsabilité partagée.
En termes simplifiés :
• Le fournisseur cloud est responsable de la sécurisation de l'infrastructure sous-jacente.
• L'établissement de santé est responsable de la gouvernance des utilisateurs, de la discipline d'accès et de l'application des politiques.
Les défaillances de sécurité se produisent souvent lorsque les organisations supposent que le passage au cloud transfère toute la responsabilité au fournisseur. En réalité, la gouvernance doit rester active et délibérée.
Il est facile de faire des déclarations en matière de sécurité dans les technologies de la santé, mais elles sont difficiles à vérifier. Presque toutes les plateformes d'imagerie cloud annoncent le chiffrement et le respect de la conformité. La différence entre un système sécurisé et un système vulnérable réside souvent dans la transparence de la documentation, les mécanismes d'application et la maturité de la gouvernance.
Lors de l'évaluation d'un fournisseur de Cloud PACS, les établissements de santé doivent aller au-delà du discours commercial et évaluer les indicateurs de sécurité mesurables.
Un fournisseur doit documenter clairement :
• Normes de chiffrement au repos (par exemple, AES-256)
• Application du chiffrement en transit (protocoles TLS)
• Politiques de gestion des clés
• Si le chiffrement est appliqué par défaut ou configurable
La sécurité doit faire partie intégrante de la plateforme, dès le départ. Ainsi, la sécurité est toujours là pour vous protéger sans que vous ayez à y penser. La sécurité doit être intégrée à la plateforme afin que vous puissiez l'utiliser sans inquiétude.
Un environnement Cloud PACS mature doit fournir :
• Contrôle d'accès basé sur les rôles (RBAC)
• Gestion granulaire des autorisations
• Prise en charge de l'authentification multifacteur (MFA)
• Capacités de surveillance de session
Les organisations doivent également confirmer la facilité avec laquelle les accès peuvent être révoqués et la rapidité avec laquelle les autorisations se propagent dans le système.
La visibilité de la sécurité est aussi importante que la prévention de la sécurité. Les fournisseurs doivent proposer :
• Des journaux d'activité détaillés
• Le suivi des téléchargements et des partages
• Les enregistrements des modifications administratives
• Des mécanismes d'alerte pour les comportements suspects
La possibilité de générer des rapports d'audit à la demande est particulièrement importante lors des examens de conformité.
Une plateforme d'imagerie sécurisée doit protéger à la fois contre les violations de données et contre les interruptions d'exploitation.
Les questions clés incluent :
• Les sauvegardes sont-elles automatisées ?
• Les données sont-elles répliquées dans différentes régions géographiques ?
• Quels sont les objectifs de temps de récupération (RTO) définis ?
• Les sauvegardes sont-elles protégées contre la modification par des rançongiciels ?
La redondance doit être systématique, et non manuelle ou réactive.
Les établissements de santé doivent demander :
• La documentation justifiant l'alignement sur la HIPAA ou le RGPD
• Les politiques de résidence des données
• Les accords d'association (BAA) (le cas échéant)
• Les audits ou certifications de sécurité indépendants
La transparence est un point à prendre en compte lorsque l'on évalue la maturité de la sécurité.
Au-delà des caractéristiques techniques, les organisations doivent évaluer l'approche du fournisseur en matière de gouvernance de la sécurité :
• Publie-t-il ses pratiques de sécurité ?
• Les mises à jour et les correctifs sont-ils appliqués de manière proactive ?
• Existe-t-il un processus de réponse aux incidents documenté ?
• La sécurité est-elle positionnée comme un principe fondamental ou un simple ajout marketing ?
La culture de sécurité prédit souvent la résilience à long terme de manière plus précise que les listes de fonctionnalités.
Le Cloud PACS peut être plus sûr que les systèmes sur site lorsqu'il est mis en œuvre avec un chiffrement appliqué, des contrôles d'accès structurés, une surveillance continue et une redondance de sauvegarde automatisée. Les systèmes sur site dépendent fortement de la discipline de maintenance informatique interne. Le niveau de sécurité dans les deux environnements dépend de la qualité de la gouvernance, et non de l'emplacement du serveur.
Un Cloud PACS sécurisé doit mettre en œuvre un chiffrement fort au repos (tel que AES-256) et une transmission chiffrée à l'aide des protocoles TLS. Le chiffrement doit être imposé par défaut, et non facultatif. Des politiques de gestion des clés appropriées sont également essentielles pour empêcher le déchiffrement non autorisé des données.
Aucun système ne peut garantir une immunité totale contre les rançongiciels. Cependant, les plateformes Cloud PACS modernes peuvent réduire considérablement l'impact de ces attaques grâce à des sauvegardes immuables, des contrôles d'accès segmentés, une authentification multifacteur et des capacités de restauration rapide. La gouvernance et la sécurité des identifiants demeurent des éléments essentiels de la résilience aux rançongiciels.
L'infrastructure de cloud public peut être hautement sécurisée lorsqu'elle est correctement configurée. Les principaux fournisseurs de cloud investissent massivement dans la sécurité au niveau de l'infrastructure. Le risque principal découle généralement d'une mauvaise configuration, d'un contrôle d'accès faible ou d'une gouvernance insuffisante, et non de l'infrastructure de cloud public elle-même.
Les plateformes Cloud PACS sécurisées protègent les données d'imagerie partagées via des canaux de transmission chiffrés, des liens d'accès basés sur des autorisations, un suivi d'audit et, en option, des contrôles d'accès à durée limitée. Une gouvernance appropriée du partage empêche la redistribution non autorisée d'études sensibles.
Les établissements de santé doivent rechercher une conformité documentée avec la HIPAA (pour les entités américaines), le RGPD (pour les entités de l'UE), et éventuellement des audits de sécurité indépendants tels que les rapports SOC ou les certifications de la norme ISO. Les fournisseurs doivent documenter clairement leur position de conformité plutôt que de s'appuyer sur des affirmations de sécurité générales.
L'emplacement de stockage des données dépend de l'infrastructure régionale et des politiques de configuration du fournisseur cloud. Les établissements de santé doivent vérifier les politiques de résidence des données, les régions géographiques de stockage et les pratiques de réplication des sauvegardes pour garantir la conformité aux réglementations locales.
La sécurité dans le cloud suit un modèle de responsabilité partagée. Le fournisseur sécurise l'infrastructure sous-jacente, tandis que l'établissement de santé reste responsable de la gouvernance des utilisateurs, de la discipline concernant les identifiants, des politiques d'accès et de l'application de la conformité. La sécurité nécessite la participation active des deux parties.
