Sécurité & souveraineté

Un éditeur indépendant, vos données de santé en France

Ducal n'est adossé à aucun fonds d'investissement. Notre feuille de route sert les établissements et les territoires — pas les exigences de rendement d'un actionnaire. Vos données restent en France, sur une infrastructure souveraine, et votre confiance n'est jamais une variable d'ajustement.

Demander une démoParler à notre équipe
Les preuves

Des engagements vérifiables, pas des slogans

Quatre chiffres qui se mesurent dans notre code et notre infrastructure — pas dans une plaquette commerciale.

HDS
Hébergement certifié Hébergeur de Données de Santé, en France (Scalingo · osc-fr1).
5 000+
Tests automatisés rejoués en continu sur le backend.
16
Contrôles d'intégration continue franchis à chaque déploiement.
AES-256
Chiffrement intégral des données de santé au repos.

Une donnée de santé vaut cher. Sur les marchés illicites, un dossier médical complet se négocie dix à vingt fois plus qu'un numéro de carte bancaire — et les cyberattaques contre les établissements de santé se sont multipliées ces dernières années. Pour un établissement comme pour un financeur, la question n'est plus « faut-il sécuriser ? » mais « à qui confier la donnée ? ».

Notre réponse tient en un mot : indépendance. Là où une partie du marché du dossier usager médico-social se consolide autour de fonds d'investissement, Ducal reste un éditeur indépendant. Cette posture conditionne qui décide de la feuille de route, où vivent les données, et ce qui n'est jamais bradé sous pression de rentabilité.

La sécurité et la souveraineté ne sont pas un coût qu'on subit. Ce sont une promesse de confiance que nous tenons — vérifiable, documentée, et opposable contractuellement.

Souveraineté

Hébergement souverain & indépendance

Trois engagements qui font la différence entre « des données en sécurité » et « des données dont vous gardez la maîtrise ».

Données en France, hébergeur certifié HDS

Nos solutions de santé sont hébergées chez Scalingo, hébergeur français certifié Hébergeur de Données de Santé (HDS), en région osc-fr1. Aucune donnée n'est exposée au Cloud Act américain.

Infrastructure Outscale qualifiée SecNumCloud

Le datacentre sous-jacent repose sur l'infrastructure Outscale, qualifiée SecNumCloud par l'ANSSI — le plus haut niveau de qualification cloud souverain en France. La qualification est celle de l'infrastructure, pas une revendication de Ducal.

Éditeur indépendant, sans fonds

Notre roadmap est dictée par les besoins des établissements et la conformité Ségur — pas par les arbitrages financiers d'un investisseur. Vous savez à qui vous parlez, et au service de qui nous travaillons.

Séparation stricte des environnements

Trois environnements isolés garantissent qu'aucune donnée réelle ne fuit hors de la production :

DEV
Données synthétiques uniquement. Aucune donnée réelle d'usager, même anonymisée.
STAGING
Données anonymisées, accès restreint à l'équipe projet. Validation fonctionnelle avant mise en production.
PRODUCTION
Accès restreint et nominatif. Journalisation complète des accès. Chiffrement intégral au repos et en transit.

Réseau cloisonné

L'infrastructure repose sur des règles de pare-feu restrictives. L'accès d'administration requiert obligatoirement un VPN authentifié par clé. Les services sont segmentés pour limiter tout mouvement latéral en cas de compromission, et aucune base de données n'est joignable directement depuis l'extérieur.

Pipeline sécurité

La sécurité n'est pas un audit de fin de projet — elle tourne à chaque commit

Chaque modification de code franchit un pipeline d'intégration continue avant de toucher la production. Seize contrôles automatisés s'exécutent à chaque déploiement : rien n'arrive en production sans les avoir tous passés.

gitleaks — détection de secrets dans le code et l'historique
Semgrep — analyse statique OWASP / Python / FastAPI, plus 6 règles HDS sur mesure
pip-audit — analyse des CVE sur les dépendances (bloquant)
SBOM — nomenclature logicielle CycloneDX à chaque build
Tests RLS — cloisonnement multi-établissement vérifié sans super-utilisateur
Conformance Ségur — vérification de l'interopérabilité à chaque passage

Chiffrement & accès

La donnée est protégée à chaque instant de son cycle de vie : pendant son transport, au repos, et jusqu'à sa destruction certifiée en fin de contrat.

Chiffrement de bout en bout

Toutes les communications sont protégées par TLS 1.3 minimum, avec HSTS activé sur l'ensemble de nos domaines et les protocoles obsolètes désactivés sans exception. Au repos, les données de santé sont chiffrées en AES-256-GCM ; les volumes d'infrastructure et les sauvegardes le sont également.

Accès, secrets & identités

MFA obligatoire
Authentification multi-facteurs requise pour tout accès à la production, sans exception.
SSH par clé
Accès par clé ED25519, production exclusivement via VPN authentifié. Aucun accès direct depuis l'extérieur.
Moindre privilège
Chaque compte n'accède qu'aux ressources strictement nécessaires à sa mission. Accès nominatifs et tracés.
Secrets centralisés
Rotation régulière, zéro secret dans le code source, zéro secret dans les logs. Révocation sous 24 h après fin de mission.

Cloisonnement multi-établissement. Au niveau de la base de données elle-même, chaque établissement ne voit que ses propres données : l'isolation est vérifiée automatiquement à chaque déploiement, y compris contre les comptes à privilèges. Un établissement ne peut jamais accéder par erreur aux données d'un autre.

IA
Chaque commit est analysé automatiquement pour détecter la présence accidentelle de secrets — clés API, mots de passe, jetons d'accès — avant même qu'il n'atteigne le dépôt principal.
Surveillance

Surveillance continue & réponse aux incidents

Détecter vite, corriger vite, et vous tenir informés. Nos engagements de délai sont mesurables et opposables.

Critique · CVSS 9-10
24 heures — correction en urgence.
Haute · CVSS 7-8.9
72 heures — correctif prioritaire.
Modérée · CVSS 4-6.9
14 jours — prochain sprint.
Faible · CVSS 0.1-3.9
30 jours — backlog sécurité.

Les incidents sont classés de P1 (critique) à P4 (mineur). En cas d'incident P1, le client est notifié sous 4 heures. Si une violation de données est confirmée, la CNIL est notifiée dans les 72 heures conformément au RGPD, et chaque incident fait l'objet d'un post-mortem documenté.

IA
Revue de code par IA à chaque pull request : l'IA détecte des failles de logique métier et des contrôles d'accès déficients — souvent invisibles aux scanners classiques — avant tout passage en production.

Conformité & engagements

Ducal s'inscrit dans les référentiels exigés pour traiter de la donnée de santé en France, et engage chaque conformité au contrat.

HDS
Hébergement des données de santé — hébergeur Scalingo certifié (osc-fr1).
SecNumCloud
Infrastructure Outscale sous-jacente qualifiée SecNumCloud par l'ANSSI.
RGPD
Protection des données personnelles — application intégrale, DPA systématique.
PGSSI-S
Politique générale de sécurité des SI de santé — authentification, imputabilité, traçabilité.
ANSSI — Guide PSSI
Structure et gouvernance de notre politique de sécurité.
OWASP Top 10
Sécurité applicative — vérifiée en continu par le pipeline.
Ségur Vague 2 (DUI)
Module Résident conçu Ségur-native pour le médico-social — dans la trajectoire de référencement de la Vague 2.

Nous ne parlons jamais de « certification Ségur ». Notre module Résident est conçu Ségur-native pour le couloir médico-social et inscrit dans la trajectoire de référencement de la Vague 2. Nous nommons précisément où nous en sommes, parce que la confiance se construit sur des faits exacts.

Sur le plan contractuel, chaque projet fait l'objet d'un Data Processing Agreement (DPA) systématique. Ducal tient à jour un registre des traitements, applique le privacy by design dès la conception, et livre le code source complet au client. En fin de contrat, une suppression sécurisée certifiée est réalisée et documentée.

Intelligence artificielle

Ce que l'IA fait — et ne fait jamais

L'IA renforce notre sécurité au quotidien. Mais son périmètre est strict, et la supervision humaine est systématique.

Ce que l'IA fait
Analyse statique et sémantique du code à chaque modification
Détection de vulnérabilités profondes (logique métier, contrôles d'accès)
Vérification de conformité des configurations de sécurité
Revue de code systématique à chaque pull request
Ce que l'IA ne fait jamais
Aucun accès aux bases de données de production
Aucun accès aux environnements de production
Aucune donnée d'usager dans les prompts ou contextes IA
Aucune modification déployée sans validation humaine

En tant que système intervenant dans le domaine de la santé, notre usage de l'IA relève de la catégorie haut risque au sens du règlement européen sur l'intelligence artificielle (AI Act, UE 2024/1689). C'est pourquoi la supervision humaine est systématique à chaque étape.

Consulter notre charte d'utilisation de l'IA →
Parlons de votre projet

La souveraineté, ça se vérifie. Voyons-la ensemble.

Démonstration en conditions réelles, réponses à vos exigences sécurité et conformité, et accès à notre PSSI dans un cadre contractuel.

Demander une démoParler à notre équipe

Pour aller plus loin

Article

Hébergement HDS : le guide

Ce que recouvre la certification Hébergeur de Données de Santé, et pourquoi elle protège vos usagers.

Article

SecNumCloud & cloud souverain

La qualification ANSSI la plus exigeante pour le cloud, et ce qu'elle implique concrètement.

Article

Cybersécurité en établissement de santé

Panorama des menaces et des bonnes pratiques pour les structures sanitaires et médico-sociales.

Article

Cyberattaques des hôpitaux : le bilan

Retour sur les attaques récentes contre les établissements français et leurs enseignements.

Article

RGPD & données de santé

Les obligations spécifiques au traitement des données de santé à caractère personnel.

Article

Plan de reprise après cyberattaque

Comment un établissement organise la continuité et la reprise face à un incident majeur.

Article

Open source & sécurité en santé

Transparence du code et auditabilité : pourquoi elles renforcent la confiance.

Article

Le cloud souverain en santé

Localisation des données, Cloud Act, et enjeux de souveraineté numérique pour la santé.

Un projet de digitalisation santé ?

Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.

Nous contacter