Landing Zone Azure certifiée HDS :zéro observation bloquante à l'audit.

Un organisme de santé conservait ses serveurs on-premise. Une entité supérieure lui a imposé de libérer les locaux : il fallait migrer l'ensemble de l'infrastructure vers le cloud, en conformité avec les normes HDS (Hébergement de Données de Santé) — un cadre réglementaire strict qui engage la responsabilité de l'hébergeur en cas de violation.

Mission confiée via un grand groupe de services numériques, en équipe de trois : un architecte cloud senior, un DevOps, et moi. La plateforme finale devait servir l'ensemble des hôpitaux de Martinique et de Guadeloupe utilisant les logiciels de l'organisme client.

La conformité HDS imposait des choix d'architecture non négociables :

• Utilisation exclusive des régions Azure certifiées HDS (France Central)
• Chiffrement at rest et in transit systématique, clés gérées par le client (BYOK)
• Journalisation immuable de tous les accès
• Ségrégation réseau stricte — aucun flux non autorisé entre environnements
• Politiques d'accès conditionnels et revue trimestrielle des droits
• Plan de continuité et procédures de reprise documentés

Landing Zone Azure complète construite avec Terraform, suivant le framework CAF de Microsoft adapté aux contraintes HDS. Périmètre couvert :

• Réseau virtuel, groupes de ressources, Key Vault, Bastion, VMs
• 2 environnements complets avec bases de données répliquées
• Windows Server, ADDS, Azure AD avec MFA obligatoire et accès JIT
• Azure Firewall, Azure App Gateway
• Pipeline CI/CD Terraform via Azure DevOps

Chaque ressource Azure est soumise à des Azure Policies qui bloquent automatiquement toute configuration non conforme — même un administrateur ne peut pas déployer hors région certifiée. Tous les logs sont archivés dans un Log Analytics Workspace en mode immuable.

J'ai pris en charge les démonstrations techniques et le suivi avec le client final, malgré mon niveau alors junior sur Azure. Les échanges avec des interlocuteurs non-techniques m'ont appris à adapter mon langage sans perdre en précision.

Deux éditeurs de logiciels de santé devaient installer leurs solutions sur la plateforme. Je les ai accompagnés de bout en bout :

• Collecte et validation des matrices de flux réseau
• Assistance pour la création et la configuration des bases de données
• Configuration Windows Server et IIS pour leurs applicatifs

4 mois de run post-livraison : supervision, support, résolution d'incidents.

Certification HDS obtenue sans observation bloquante lors de l'audit. La plateforme est en production, hébergeant les données des hôpitaux de Martinique et de Guadeloupe.

L'équipe cliente a été formée à la maintenance de la conformité : elle gère elle-même les revues d'accès, les alertes et les mises à jour de policies.