Une PULSAR souveraine par DPI (Cayenne · Kourou · Saint-Laurent), fédérées pour la réponse à incident multi-sites. La donnée patient ne quitte jamais son site en clair.
Topologie — souveraineté par site
🛰️ PULSAR · Cayenne
🗄️ DPI Cayenne
🛡️ Privacy Engine (caviardage local)
⛓️ Audit chaîné local
🔒 PHI reste sur site
🛰️ PULSAR · Kourou
🗄️ DPI Kourou
🛡️ Privacy Engine (caviardage local)
⛓️ Audit chaîné local
🔒 PHI reste sur site
🛰️ PULSAR · St-Laurent
🗄️ DPI St-Laurent
🛡️ Privacy Engine (caviardage local)
⛓️ Audit chaîné local
🔒 PHI reste sur site
↔ Fédération en mesh : coordination par signaux caviardés (métadonnées), rôle de coordinateur basculable (pas de point unique de défaillance).
Le flux de réponse à incident
1
Détection locale
PULSAR-Cayenne lit le log et repère la dégradation du cluster DPI.
acteur : PULSAR-Cayenne
2
Diagnostic + criticité PHI caviardée
Statut de gravité établi : P1 — sécurité patient. Caviardage immédiat : aucune donnée en clair.
acteur : PULSAR-Cayenne
3
Fédération
L'incident touche la réplication inter-sites → Cayenne devient coordinateur et synchronise Kourou & St-Laurent (signaux caviardés, jamais de PHI).
acteurs : 3 instances PULSAR
4
Escalade ciblée Power Automate → Teams
Webhook enrichi → carte adaptative Teams aux bons responsables par site, selon la matrice de gravité. P1 : 3 admins + directeur.
canal : Power Automate · Teams
5
Scénarios d'action
PULSAR propose 2-3 options chiffrées (délai / risque / impact) et recommande la migration à chaud + ajustement QoS.
acteur : PULSAR (décision-support)
6
Validation depuis Teams triple validation
Chaque responsable approuve/refuse dans la carte (action → webhook retour). Opération sensible = quorum 3/3, sites distincts.
acteurs : admins des 3 sites
7
Lane directeur
Carte « décision de direction » : impact soin, ETA, et décisions à son niveau (cellule de crise, moyens exceptionnels, communication). Participe réellement + visibilité temps réel.
acteur : direction
8
Action déterministe
Exécuteur least-privilege, dry-run + rollback armé, après quorum. Aucune action autonome sur le critique.
acteur : exécuteur PULSAR
9
PV certifié automatique
Version direction (directeur) + version technique (admins). Signé, horodaté, archivé.
Diagnostic : nœud hôte2 en défaut, réplication saturée. Recommandation : migration à chaud des VM + élargissement QoS (sans interruption). Opération sensible → votre validation requise.
🔒 contenu caviardé · aucune donnée patient · action tracée dans la chaîne d'audit
Matrice de gravité → escalade
Gravité
Critère
Qui est notifié (Teams)
Directeur ?
P1
Sécurité patient / multi-sites
Admins des 3 sites + cellule
✅ dans la boucle + décision
P2
Service dégradé, 1 site
Admin(s) du site concerné
information seule
P3-P4
Mineur / planifié
Ticket (pas de notification poussée)
—
La voie du directeur
🎖️
Une vraie voie de décision, pas un strapontin.
En P1, le directeur reçoit une carte dédiée et tranche ce qui relève de lui :
déclarer (ou non) la cellule de crise ;
autoriser des moyens exceptionnels (astreinte renforcée, prestataire) ;
valider la communication interne/externe ;
accepter le risque résiduel d'une décision.
Il voit l'incident se résoudre en temps réel : impliqué réellement, et — légitimement — acteur de la résolution avec son équipe.
Vigilance — souveraineté
⚠️ Teams / Power Automate = cloud Microsoft. Seules des métadonnées caviardées y transitent — aucune PHI vers le cloud. Le cockpit on-prem reste la voie souveraine de repli (incident très sensible ou cloud indisponible). Matrice stricte → pas de sur-notification (le directeur n'est bouclé qu'en P1).