Retour au blog
healthtechvulnérabilitésdonnées santé

Les 5 vulnérabilités que nous trouvons chez 90% des startups healthtech

Publié le 2026-03-016 min de lectureFlorian

Les startups de santé vont vite. Trop vite.

L'urgence de mettre sur le marché pousse les healthtechs à négliger la sécurité. Avec le référentiel HDS 2.0 obligatoire au 16 mai 2026, c'est un risque réglementaire majeur.

Vulnérabilité 1 : APIs patients sans authentification adéquate

Des endpoints retournant des données patients (nom, diagnostic, traitement) accessibles avec un simple token d'authentification : sans vérification que l'utilisateur a le droit d'accéder à CE patient.

Vulnérabilité 2 : Stockage médical dans des buckets publics

Radiographies, ordonnances, résultats d'analyses dans des buckets S3 ou Supabase Storage sans politique d'accès. Accessibles par URL directe.

Vulnérabilité 3 : RLS manquant sur les tables patients

Politiques Row Level Security absentes ou incomplètes. Tout utilisateur authentifié accède aux données de tous les patients.

Vulnérabilité 4 : Logs contenant des données de santé

Les logs applicatifs contiennent des informations médicales en clair : nom du patient, diagnostic, traitement. Accessibles via des endpoints de monitoring non protégés.

Vulnérabilité 5 : Webhooks non authentifiés

Création de rendez-vous, modification de dossiers, envoi de prescriptions : via des webhooks sans vérification d'identité.

Notre expertise healthtech

Nous auditons régulièrement des applications de santé. Notre revue externe identifie ces 5 vulnérabilités en quelques heures. Diagnostic gratuit en 10 minutes.

Articles liés

Trois analyses proches pour continuer la lecture sur la meme surface de risque.

Supabasetechnique

Supabase RLS : 5 erreurs de configuration que nous trouvons chaque semaine

Les politiques Row Level Security de Supabase sont la première ligne de défense. Voici les 5 erreurs les plus fréquentes.

2026-03-28 · 7 min de lecture
HealthtechSupabase

Healthtech sur Supabase : dossier patient et RLS, les pièges qui tiennent

Un dossier patient exige une isolation plus stricte qu'un SaaS classique. Les erreurs RLS fréquentes dans les jeunes produits healthtech.

2026-04-16 · 4 min de lecture
HDShealthtech

HDS 2.0 obligatoire au 16 mai 2026 : checklist sécurité pour healthtech

Le référentiel HDS 2.0 devient obligatoire. Voici la checklist complète pour préparer votre application de santé.

2026-04-07 · 7 min de lecture

Sources

Rédigé par Florian
Revu le 2026-03-01

Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

Services associés

Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

Revue Externe

Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

Audit Complet

Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

Suivi Récurrent

Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit