Aller au contenu principal
LOBIKO — Votre assistant médical

Langue

Se connecter Créer un compte

Infrastructure & conformité

Sécurité des données

LOBIKO applique une politique de sécurité de niveau médical pour protéger vos données de santé : chiffrement de bout en bout, accès rôle-based, traçabilité et continuité de service garantie.

Dernière mise à jour : 13 juin 2026

RGPD

Conformité européenne

HIPAA-aligned

Bonnes pratiques US

HDS-ready

Hébergeur de données de santé

ISO 27001

Cadre de référence ISMS

TLS 1.3

Transport chiffré

AES-256

Chiffrement au repos

Notre engagement sécurité

Les données que vous confiez à LOBIKO — en particulier vos données de santé — font partie des informations les plus sensibles qui existent. LOBIKO s'engage à les protéger avec le même niveau de rigueur que celui appliqué dans les systèmes d'information hospitaliers de référence.

Notre approche repose sur le principe de Privacy by Design : la sécurité et la confidentialité ne sont pas ajoutées a posteriori, elles sont intégrées dès la conception de chaque fonctionnalité. Chaque membre de l'équipe LOBIKO est formé aux enjeux de la confidentialité médicale et soumis à une obligation de discrétion contractuelle.

0

Violation de données connue

Depuis le lancement

99,5 %

Disponibilité garantie

Sur 12 mois glissants

< 4 h

Détection d'incidents

Objectif RTO sécurité

Architecture de sécurité

L'infrastructure LOBIKO repose sur une architecture en couches isolées hébergée chez Amazon Web Services, avec séparation stricte des environnements de production, de staging et de développement :

Périmètre

Pare-feu applicatif (WAF), protection DDoS AWS Shield Standard, filtrage IP géographique pour les accès administrateurs, certificats TLS/SSL avec renouvellement automatique.

Application

Protection CSRF (tokens rotatifs), validation stricte de toutes les entrées utilisateur, en-têtes de sécurité (CSP, HSTS, X-Frame-Options), sessions chiffrées et rotation des clés applicatives.

Données

Chiffrement AES-256 au repos pour toutes les données médicales, ségrégation des données par établissement, accès minimal par principe du moindre privilège.

Réseau

VPC privé AWS, sous-réseaux isolés pour la base de données, communication inter-services chiffrée via TLS mutual, aucun accès direct aux bases de données depuis internet.

Chiffrement des données

En transit (in transit)

  • • TLS 1.3 sur toutes les connexions client-serveur
  • • Désactivation de TLS 1.0/1.1 et SSL 3.0
  • • HSTS activé (Strict-Transport-Security)
  • • Certificate Pinning sur les apps mobiles
  • • Flux WebRTC (téléconsultation) chiffrés DTLS/SRTP

Au repos (at rest)

  • • AES-256 pour les bases de données (RDS Encrypted)
  • • Chiffrement des volumes de stockage (EBS, S3 SSE)
  • • Clés gérées via AWS KMS avec rotation annuelle
  • • Mots de passe hachés en bcrypt (coût ≥ 12)
  • • Jetons API stockés en HMAC-SHA256

Signature électronique des documents médicaux

Chaque ordonnance, résultat de laboratoire et compte-rendu médical est signé électroniquement via un HMAC-SHA256 horodaté. Une empreinte cryptographique unique est encodée dans un QR Code intégré au document, permettant à quiconque de vérifier en temps réel l'authenticité et l'intégrité du document depuis l'URL de vérification LOBIKO.

Contrôle d'accès (RBAC)

LOBIKO applique un modèle de contrôle d'accès basé sur les rôles (Role-Based Access Control). Chaque utilisateur n'a accès qu'aux données strictement nécessaires à l'exercice de ses fonctions.

Rôle Données accessibles Restrictions
Patient Ses propres données médicales et celles de ses ayants droit Aucun accès aux données d'autres patients
Médecin Dossiers de ses patients en consultation active uniquement Accès révoqué après fin de relation thérapeutique
Laborantin Prescriptions et résultats liés aux demandes reçues Pas d'accès à l'historique médical complet
Pharmacien Ordonnances présentées pour dispensation Lecture seule des ordonnances, pas des dossiers
Admin établissement Données agrégées de son établissement Impossible d'accéder aux données nominatives
Super admin Accès technique complet journalisé Authentification MFA obligatoire, audit log

L'authentification à deux facteurs (2FA) est disponible pour tous les comptes et obligatoire pour les rôles administrateurs et les professionnels de santé.

Journalisation et traçabilité

Chaque accès à une donnée médicale, chaque action sensible (création d'ordonnance, modification de dossier, connexion administrateur) est enregistré dans un journal d'audit immuable avec horodatage, identifiant de l'acteur, adresse IP et nature de l'action.

Événements journalisés

  • — Connexion / déconnexion (succès et échecs)
  • — Consultation d'un dossier patient
  • — Création / modification / signature de documents
  • — Changements de rôles et permissions
  • — Exports de données
  • — Tentatives d'accès non autorisées

Conservation des logs

  • — Logs d'accès médicaux : 10 ans
  • — Logs de connexion : 12 mois
  • — Logs d'audit admin : 5 ans
  • — Stockage en lecture seule chiffré
  • — Intégrité vérifiable par hash chain

Sauvegardes et continuité de service

Sauvegardes automatiques

Toutes les 6 heures

Rétention des sauvegardes

90 jours (données médicales) / 30 jours (logs)

Test de restauration

Mensuel, en environnement isolé

Réplication géographique : Les sauvegardes sont répliquées sur deux régions AWS distinctes (EU Paris + Cape Town) pour garantir la récupération en cas de sinistre régional. Les données médicales congolaises sont prioritairement stockées dans la région Africa (af-south-1).

Objectifs de rétablissement : RTO (Recovery Time Objective) cible : 4 heures. RPO (Recovery Point Objective) cible : 6 heures maximum de perte de données.

Plan de continuité : Un plan de continuité d'activité (PCA) documenté couvre les scénarios de panne partielle, de sinistre régional et de cyberattaque majeure. Ce plan est testé deux fois par an.

Gestion des incidents de sécurité

LOBIKO dispose d'une procédure de gestion des incidents de sécurité conforme aux exigences du RGPD (notification sous 72 heures) et aux bonnes pratiques NIST :

1. Détection

Surveillance continue (SIEM), alertes automatisées sur anomalies, équipe d'astreinte 24/7.

2. Confinement

Isolation des systèmes compromis, révocation des accès suspects, activation du plan de crise.

3. Analyse

Investigation forensique, identification des données exposées, évaluation de l'impact.

4. Notification

Information des autorités compétentes sous 72h si données personnelles exposées. Notification individuelle des personnes concernées si risque élevé.

5. Remédiation

Correction des vulnérabilités, restauration sécurisée des services, renforcement des contrôles.

6. Post-mortem

Rapport d'incident documenté, leçons apprises, mise à jour des procédures.

Conformité réglementaire

RGPD (UE 2016/679)

Application des principes de minimisation, finalité, exactitude et limitation de conservation. Registre des traitements maintenu. DPO désigné.

HIPAA (alignement)

Mesures techniques et organisationnelles alignées sur les règles de sécurité HIPAA pour la protection des Protected Health Information (PHI).

HDS (Hébergement Données de Santé)

Hébergement sur infrastructure AWS certifiée HDS (fr-north-1). Contrat d'hébergement HDS signé avec AWS EMEA SARL.

ISO 27001 (cadre de référence)

Politiques de sécurité, gestion des risques, contrôle d'accès et gestion des incidents alignés sur le cadre ISO/IEC 27001:2022.

Droit congolais

Respect de la Loi n° 29-2019 du 30 décembre 2019 portant protection des données à caractère personnel en République du Congo.

OHADA

Conformité aux dispositions de l'Acte Uniforme OHADA sur le droit des sociétés commerciales et aux textes sur le commerce électronique applicables.

Signalement de vulnérabilités (Responsible Disclosure)

LOBIKO encourage les chercheurs en sécurité à signaler de manière responsable toute vulnérabilité découverte sur notre plateforme. Nous nous engageons à :

  • Accuser réception du signalement sous 48 heures ouvrables
  • Évaluer et qualifier la vulnérabilité sous 10 jours
  • Déployer un correctif dans un délai adapté à la criticité
  • Vous mentionner dans notre Hall of Fame (avec votre accord)
  • Ne pas engager de poursuites pour les signalements effectués de bonne foi

Hors périmètre (non éligible)

  • — Attaques par déni de service (DoS/DDoS)
  • — Ingénierie sociale ciblant les employés LOBIKO
  • — Tests sur des comptes qui ne vous appartiennent pas
  • — Spam ou phishing

Contact sécurité

Pour tout signalement de vulnérabilité, incident de sécurité ou question relative à la protection de vos données :

🔐 securite@lobiko.health — Incidents & vulnérabilités

📋 dpo@lobiko.health — Délégué à la Protection des Données

📍 LOBIKO S.A.S. — Avenue de la Santé, Brazzaville, République du Congo

Pour les signalements urgents de vulnérabilité critique, précisez « URGENCE SÉCURITÉ » en objet de votre email. Nous répondons 24h/24 pour les incidents P0.

← Mentions légales Politique de confidentialité → Conditions d'utilisation →