# APN privé — Access Point Name dédié
> Catégorie : **Télécom et connectivité** · Slug : `apn-prive` · Source canonique :
**Définition courte** : Access Point Name privé sur réseau mobile : les flux du client n'empruntent pas l'Internet public, ils transitent par un APN dédié vers son SI.
## Statistiques sur les 404 hébergeurs HDS
- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **1**
## Définition
Un **APN privé** (*Access Point Name*) est un point d'entrée logique au réseau cœur d'un opérateur mobile, **dédié à une flotte SIM identifiée** et **séparé du trafic Internet public**. À la différence d'un APN public (`orange.fr`, `sl2sfr`, `mmsbouygtel.com`, `free`), qui agrège des millions d'abonnés et déverse leur trafic vers la sortie Internet du MNO, l'APN privé route le trafic data des SIM associées vers un **point d'interconnexion contractualisé** — typiquement un MPLS du client, un VPN IPSec vers son SI, ou une liaison directe physique vers son datacenter.
Trois composants techniques structurent un APN privé :
1. **Le P-GW (Packet Gateway)** ou son équivalent 5G **UPF (User Plane Function)** — l'élément du cœur mobile qui assure l'interconnexion entre le réseau mobile et le réseau IP du client. Sa configuration détermine la sortie du trafic.
2. **Le tunnel d'interconnexion** — IPSec, MACsec, ou MPLS — qui transporte le trafic data du P-GW/UPF jusqu'au point d'arrivée client (datacenter HDS, SI hospitalier, plateforme métier).
3. **Le plan d'adressage IP** — privé (RFC 1918) ou publiquement routé, fixe ou dynamique. Pour les architectures où le SI doit initier la connexion vers le dispositif distant, l'IP fixe est indispensable.
L'**isolation logique** du trafic est garantie par le routage : les paquets émis par une SIM associée à l'APN privé ne croisent jamais la sortie Internet publique du MNO. Ils restent dans le backbone de l'opérateur jusqu'au point de remise contractuel.
## Pourquoi c'est important pour un hébergeur HDS
Pour les architectures santé sensibles, l'APN privé est l'un des deux mécanismes (avec la fibre dédiée, cf. [/criteres/fibre-noire/](/criteres/fibre-noire/)) qui permettent une chaîne *air-gapped end-to-end* entre le terminal et le SI hébergé. Cinq propriétés en font un actif stratégique :
1. **Pas de transit Internet public.** Le trafic est routé directement du P-GW/UPF au point d'arrivée client. Aucune juridiction étrangère n'est traversée, aucun FAI tiers ne voit même les métadonnées d'application.
2. **Surface d'attaque réduite.** Les SIM associées à un APN privé ne sont pas adressables depuis Internet. Une attaque opportuniste (scan, exploit) n'a aucune porte d'entrée — il faut être déjà dans le réseau privé.
3. **Authentification mutuelle.** La SIM authentifie le réseau via la clé K et l'algorithme MILENAGE/TUAK. L'opérateur identifie chaque SIM individuellement. L'usurpation d'identité est cryptographiquement difficile.
4. **Audit trail complet.** L'opérateur trace chaque connexion (IMSI, IMEI, durée, volume, IP attribuée, point d'arrivée). En cas d'incident CNIL ou audit HDS, l'historique est disponible.
5. **Maîtrise du roaming.** Sur un APN privé, le roaming international peut être désactivé entièrement, ou restreint à des opérateurs partenaires contractualisés. Pas de fuite de trafic médical vers une juridiction non maîtrisée parce qu'un capteur a accroché un réseau étranger.
L'APN privé est complémentaire à la **fibre noire** : la fibre dédiée couvre les sites fixes (CHU, EHPAD, plateaux techniques), l'APN privé couvre les terminaux mobiles ou distribués (DM connectés, ambulances, capteurs à domicile, tablettes médicales). Les deux convergent typiquement vers le même datacenter HDS sans jamais avoir touché Internet.
## Comment ce critère est attribué dans le comparateur
- **✓ Vérifié** — l'acteur propose un APN privé documenté publiquement, avec mention explicite de l'isolation Internet, du mode d'interconnexion (IPSec, MPLS, MACsec) et de la possibilité d'IP fixe.
- **◆ Revendiqué** — mention « APN dédié » ou « réseau mobile sécurisé » sans précisions techniques.
- **— Non documenté** — pas de mention publique d'offre APN privé.
## Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Fabricant de dispositifs médicaux connectés (DMC) | **Critique** — l'APN privé est constitutif de la conformité produit |
| Télémédecine à domicile (HAD avec capteurs) | **Critique** — indépendance vis-à-vis du Wi-Fi patient |
| EHPAD avec IoT distribué | **Critique** — séparation des flux médicaux et loisirs |
| Ambulance et véhicules médicalisés | **Critique** — continuité du flux télémédecine |
| Hôpital classique avec dispositifs IoT internes | **Important** — Wi-Fi médical peut suffire en interne |
| Recherche clinique décentralisée | **Important** — confidentialité du recueil patient |
| Médecine de ville sédentaire | **Non concerné** |
## Comment un hébergeur peut se conformer
Pour proposer un APN privé interconnecté à son datacenter HDS, plusieurs configurations :
1. **Opérateur télécom intégré** — l'hébergeur (ou son groupe) opère son propre cœur de réseau mobile (P-GW/UPF) avec autorisation ARCEP. Configuration la plus aboutie en termes de souveraineté du trafic.
2. **MVNO B2B IoT** — accord commercial avec un MNO hôte, opération technique propre du UPF/P-GW. Permet de configurer ses propres APN privés sans gérer les antennes radio.
3. **Partenariat opérateur** — l'hébergeur HDS contractualise avec un opérateur M2M français (M2M Network, opérateurs régionaux) qui fournit le service APN privé et l'interconnexion vers le datacenter HDS.
Le **point d'interconnexion** entre l'APN privé et le datacenter HDS doit faire l'objet d'un design réseau : redondance L2, chiffrement IPSec ou MACsec, NAT statique si nécessaire, monitoring de la disponibilité.
## Plus-value vs coût
Le coût récurrent d'un APN privé est modéré (de l'ordre de 1 à 5 €/SIM/mois en surplus du forfait data standard, selon volumétrie). Le coût initial d'interconnexion entre l'opérateur et le datacenter HDS est plus structurel (matériel de terminaison, contrat MPLS ou IPSec dédié, design réseau).
Pour les acteurs santé qui déploient des flottes IoT médicales (centaines à milliers de dispositifs), l'APN privé est un investissement structurellement justifié dès qu'on quitte le périmètre du pilote.
## Sources officielles
- **3GPP** — Architecture du cœur de réseau mobile (TS 23.401 pour EPC/4G, TS 23.501 pour 5G) : [3gpp.org](https://www.3gpp.org/).
- **IETF** — RFC 4301 (IPSec), RFC 4303 (ESP), RFC 7321 (algorithmes cryptographiques) : [ietf.org](https://www.ietf.org/).
- **GSMA** — Spécifications IoT IR.92 et IR.65 : [gsma.com](https://www.gsma.com/).
- **ARCEP** — Régulation des MVNO et opérateurs déclarés : [arcep.fr](https://www.arcep.fr/).
- **ENISA** — Guidelines on Mobile Network Security : [enisa.europa.eu](https://www.enisa.europa.eu/).
## Limites connues
L'APN privé est un service souvent **non exposé publiquement** sur la page d'accueil des hébergeurs HDS — il est proposé en B2B sur RDV et documenté dans les catalogues commerciaux internes. L'absence de mention sur le site officiel n'implique pas l'absence d'offre, surtout pour les acteurs intégrés télécom + cloud. Le statut « Non documenté » reflète strictement ce qui est public à la date de fetch.
## Hébergeurs satisfaisant ce critère
### ◆ Revendiqué sur source publique (1)
- [Guardis](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/guardis/)
## Méthodologie et limites
- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète :
- Équité Guardis vs concurrents :
---
_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._