DEV Community: Laurent Quastana The latest articles on DEV Community by Laurent Quastana (@laurent_quastana). https://dev.to/laurent_quastana https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F2455076%2F757e51af-0af0-4ae2-a604-a1a996fe6a24.png DEV Community: Laurent Quastana https://dev.to/laurent_quastana en Sécuriser HL7/MLLP avec Stunnel (mTLS) Laurent Quastana Mon, 07 Jul 2025 14:37:18 +0000 https://dev.to/laurent_quastana/securiser-hl7mllp-avec-stunnel-mtls-46b4 https://dev.to/laurent_quastana/securiser-hl7mllp-avec-stunnel-mtls-46b4 <blockquote> <p>Vous échangez des flux HL7 en clair entre EAI et DPI ?<br> Voici comment les sécuriser avec TLS mutuel sans toucher au code source, en 4 commandes et un Docker Compose.</p> </blockquote> <h2> 🌍 Contexte </h2> <p>Les messages HL7 sont souvent véhiculés via MLLP (Minimal Lower Layer Protocol)… sans chiffrement.<br> C’est encore toléré dans certains SIH, mais difficilement défendable en 2025 :</p> <ul> <li>Exposition des données patients (PHI) en clair</li> <li>Absence d’authentification forte entre systèmes</li> </ul> <p>Alors comment ajouter une <strong>couche TLS mutuelle</strong> sans casser un lien MLLP existant ?<br> Réponse : <strong>Stunnel + Docker</strong>.</p> <h2> 🚀 Objectif du projet </h2> <p>Le dépôt <a href="https://github.com/lquastana/mllp-safetunnel" rel="noopener noreferrer"><code>mllp-safetunnel</code></a> fournit un environnement de test pour :</p> <ul> <li>encapsuler HL7/MLLP en TLS (avec <strong>authentification mutuelle</strong>)</li> <li> <strong>simuler</strong> des flux EAI ⇄ DPI via deux conteneurs Docker</li> <li>tester la réception, les ACKs, et l’interopérabilité</li> </ul> <p>🎯 Sans changer le code du DPI ou de l’EAI.</p> <h2> 📦 Contenu du dépôt </h2> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Répertoire / fichier</th> <th>Rôle</th> </tr> </thead> <tbody> <tr> <td><code>eai/</code></td> <td>Dockerfile + scripts Python simulant l’envoi HL7</td> </tr> <tr> <td><code>dpi/</code></td> <td>Idem côté DPI (réception + retour)</td> </tr> <tr> <td><code>stunnel/</code></td> <td>Certificats X.509 de test + script <code>gen-certs.sh</code> </td> </tr> <tr> <td><code>docker-compose.yml</code></td> <td>Orchestration complète</td> </tr> <tr> <td><code>docs/</code></td> <td>Diagrammes, bonnes pratiques sécurité, cheatsheets HL7</td> </tr> </tbody> </table></div> <p>Les conteneurs utilisent deux réseaux internes (net_eai, net_dpi).<br> Seuls les <strong>ports TLS (32100, 32200)</strong> sont exposés à l’hôte.</p> <h2> ⚙️ Prérequis </h2> <ul> <li>Docker ≥ 24.0</li> <li>Docker Compose v2</li> <li>OpenSSL (si vous régénérez les certificats)</li> <li>Ports TCP disponibles : <code>32100</code>, <code>32200</code> </li> </ul> <h2> 🔧 Démarrage rapide </h2> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># 1. Cloner le dépôt</span> git clone https://github.com/votre_org/mllp-safetunnel.git <span class="nb">cd </span>mllp-safetunnel <span class="c"># 2. (Optionnel) régénérer les certificats</span> ./stunnel/gen-certs.sh <span class="c"># 3. Lancer l’environnement</span> docker compose up <span class="nt">-d</span> <span class="c"># 4. Suivre les logs</span> docker compose logs <span class="nt">-f</span> eai </code></pre> </div> <p>Des messages HL7 (MDM^T02, ADT^A01) sont simulés toutes les 20 secondes, avec accusé de réception (ACK).</p> <h2> 📡 Détail des tunnels Stunnel </h2> <h3> 🔁 EAI → DPI (client TLS) </h3> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Étape</th> <th>Port</th> <th>Protocole</th> </tr> </thead> <tbody> <tr> <td>Envoi MLLP clair</td> <td><code>21010</code></td> <td>TCP</td> </tr> <tr> <td>Tunnel TLS sortant</td> <td><code>32100</code></td> <td>TLS mutuel</td> </tr> <tr> <td>Redirection vers DPI (clair)</td> <td><code>21010</code></td> <td>TCP interne</td> </tr> </tbody> </table></div> <h3> 🔁 DPI → EAI (retour) </h3> <p>Même logique, avec les ports <code>22010</code> (clair) → <code>32200</code> (TLS) → <code>22010</code> (clair).</p> <h2> 🧪 Simulation HL7 </h2> <p>Chaque conteneur embarque :</p> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Script</th> <th>Rôle</th> </tr> </thead> <tbody> <tr> <td><code>send.sh</code></td> <td>Envoie un fichier HL7, logue le résultat</td> </tr> <tr> <td><code>send_loop.sh</code></td> <td>Envoi auto toutes les 20 s (actif par défaut)</td> </tr> <tr> <td><code>listen.sh</code></td> <td>Écoute MLLP, affiche + ACK</td> </tr> <tr> <td><code>server.log</code></td> <td>Démarrage du service HL7</td> </tr> </tbody> </table></div> <h3> Exemple de test manuel : </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Depuis EAI vers DPI</span> docker compose <span class="nb">exec </span>eai /app/send.sh docker compose <span class="nb">exec </span>dpi /app/listen.sh <span class="c"># Depuis DPI vers EAI</span> docker compose <span class="nb">exec </span>dpi /app/send.sh docker compose <span class="nb">exec </span>eai /app/listen.sh </code></pre> </div> <h2> 🛠️ Personnalisation </h2> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Besoin</th> <th>À modifier</th> </tr> </thead> <tbody> <tr> <td>Certificats de prod</td> <td>Remplacer les fichiers dans <code>stunnel/</code> </td> </tr> <tr> <td>Autres ports</td> <td>Modifier <code>stunnel.conf</code> et <code>docker-compose.yml</code> </td> </tr> <tr> <td>Remplacer simulateurs</td> <td>Monter vos conteneurs EAI / DPI réels</td> </tr> <tr> <td>Logs plus verbeux</td> <td>Ajouter <code>debug = 7</code> dans les confs</td> </tr> </tbody> </table></div> <h2> 🔐 Bonnes pratiques sécurité </h2> <ul> <li> <strong>TLS mutuel obligatoire</strong> (<code>verify = 2</code>)</li> <li>Limiter l’exposition aux ports <code>32100</code> / <code>32200</code> uniquement</li> <li>Automatiser la rotation des certificats (<code>gen-certs.sh</code>)</li> <li>Surveiller <code>stunnel.log</code>, surtout en cas d’erreurs handshake</li> </ul> <h2> 📈 Envisager la production </h2> <p>Ce projet est une base pour :</p> <ul> <li>Démonstrateur sécurité avant mise en production</li> <li>Formation des équipes DevOps santé</li> </ul> <p>Il peut être adapté en <strong>k8s</strong>, supervisé avec <strong>Prometheus</strong>, ou branché sur un EAI Mirth/Rhapsody.</p> <h2> 🧾 Licence </h2> <p>MIT — libre d’usage et d’adaptation, y compris en contexte hospitalier.</p> <p>👉 <strong>Repo GitHub</strong> : <a href="https://github.com/lquastana/mllp-safetunnel" rel="noopener noreferrer">github.com/lquastana/mllp-safetunnel</a><br> 📢 Questions ? Ouvert aux PR / issues / idées !</p> hl7 tls healthcare stunnel Mapping a Hospital Information System Laurent Quastana Tue, 01 Jul 2025 11:53:43 +0000 https://dev.to/laurent_quastana/mapping-a-hospital-information-system-1mpm https://dev.to/laurent_quastana/mapping-a-hospital-information-system-1mpm <h2> 1 — About me </h2> <p>I’m a software engineer who spent more than a decade designing application architectures <strong>in banking</strong>.<br><br> Since 2022 I’ve served as transversal architect for several public hospitals (~ 300 apps, 500 data flows). My role: give <strong>CIOs</strong> and operations a dual view—strategic <em>and</em> hands-on—of their digital ecosystem.</p> <h2> 2 — Starting point </h2> <ul> <li> <strong>No global map</strong> – every silo had its own PowerPoint. </li> <li> <strong>No flow matrix</strong> – impossible to size cyber-exposure or dependencies. </li> <li> <strong>Sparse documentation</strong> on many off-the-shelf products. </li> </ul> <blockquote> <p><strong>Impact:</strong> governance suffered from <strong>limited visibility</strong>, slowing territorial convergence and compliance work (PGSSI-S, HAS 2025).</p> </blockquote> <h2> 3 — Method: follow the ANSSI playbook </h2> <p>The French cyber-agency guide <em>“Mapping an Information System in Five Steps”</em> provides the backbone:</p> <ol> <li>establish the stakes, </li> <li>collect reality, </li> <li>pick tooling, </li> <li>produce the views, </li> <li>keep the map alive.</li> </ol> <h2> 4 — Micro view: an ANSSI-aligned cartography engine </h2> <p>To capture the <strong>nuts-and-bolts layer</strong>—processes, applications, assets, flows, criticality—I rely on an <strong>open-source engine built around the ANSSI meta-model</strong>.</p> <p><strong>Strengths</strong></p> <ul> <li>multi-user workflow &amp; JSON API </li> <li>out-of-the-box alignment with EBIOS risk analysis </li> <li>easy to script exports for DevSecOps pipelines </li> </ul> <p><strong>Trade-offs</strong></p> <ul> <li> <strong>substantial first data load</strong> (time + people) </li> <li> <strong>information-dense diagrams</strong>: perfect for engineers, too detailed for an executive “big picture”</li> </ul> <h2> 5 — Macro view: a Draw.io schema </h2> <p>To bridge that <em>big-picture gap</em>, I built a <strong>Domain → Process → Application</strong> diagram (criticality, hosting model, mutualisation). Great for the C-suite—even if it can’t generate KPIs on its own.</p> <h2> 6 — Dual tooling &amp; data pipeline </h2> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Angle</th> <th>Tooling choice</th> <th>Purpose</th> </tr> </thead> <tbody> <tr> <td><strong>Granular / operational</strong></td> <td>ANSSI-aligned cartography engine</td> <td>Live knowledge base; validates new flows; links to biomedical assets</td> </tr> <tr> <td><strong>Macro / indicators</strong></td> <td> <strong>it-lanscape</strong> (my OSS repo)</td> <td>Nightly JSON → static dashboards: process similarity, mutualisation rate, etc.</td> </tr> </tbody> </table></div> <blockquote> <p>👉 <strong>Give it a try:</strong> fork the project on GitHub → <a href="https://github.com/lquastana/it-lanscape" rel="noopener noreferrer">https://github.com/lquastana/it-lanscape</a></p> </blockquote> architecture healthcare opensource