Le secteur de la santé est devenu la cible privilégiée des cyberattaquants. Données médicales sensibles, systèmes souvent vieillissants, et une surface d'attaque élargie par la télémédecine : les établissements de santé cumulent les vulnérabilités. Parallèlement, trois cadres réglementaires s'imposent avec des exigences croissantes : le RGPD, la certification HDS et la directive NIS2.
Chiffre clé :en 2025, les établissements de santé ont représenté plus de 10 % des incidents cyber signalés à l'ANSSI. Le coût moyen d'une violation de données de santé dépasse 10 millions d'euros au niveau mondial (IBM, 2025).
Pourquoi la santé est-elle si exposée ?
Des données à haute valeur
Un dossier médical se revend jusqu'à 250 $ sur le dark web, contre 5 $ pour un numéro de carte bancaire. Les données de santé sont détaillées, durables et exploitables pour la fraude à l'assurance ou l'usurpation d'identité.
Un parc informatique hétérogène
Systèmes hospitaliers (SIH), équipements biomédicaux connectés, logiciels métiers parfois obsolètes : le SI d'un établissement de santé est rarement homogène et souvent difficile à patcher.
La pression de la continuité de service
Contrairement à d'autres secteurs, un hôpital ne peut pas simplement « couper le SI » en cas d'attaque. La continuité des soins prime, ce qui rend les négociations avec les attaquants (ransomware) plus tendues.
Le RGPD dans le secteur santé : au-delà du consentement
Le RGPD s'applique à toute structure traitant des données personnelles, mais les données de santé bénéficient d'une protection renforcée (article 9). Voici les obligations spécifiques pour le secteur :
- 1Base légale renforcée : le traitement de données de santé nécessite une base légale spécifique (intérêt vital, médecine préventive, obligation légale de santé publique)
- 2Analyse d'impact (AIPD) : obligatoire pour les traitements à grande échelle de données de santé, incluant les DMP, la télémédecine et les registres de patients
- 3DPO obligatoire : tout établissement public de santé et toute structure traitant des données de santé à grande échelle doit désigner un DPO
- 4Notification en 72h : toute violation de données de santé doit être signalée à la CNIL dans les 72 heures et aux personnes concernées si le risque est élevé
HDS : l'hébergement des données de santé certifié
Depuis 2018, toute structure hébergeant des données de santé à caractère personnel pour le compte d'un tiers doit être certifiée HDS (Hébergeur de Données de Santé). Cette certification repose sur les normes ISO 27001 et ISO 20000.
| Exigence HDS | Ce que cela implique |
|---|---|
| Gestion des risques | Analyse de risques formalisée et revue annuelle |
| Contrôle d'accès | Traçabilité complète des accès aux données de santé |
| Chiffrement | Chiffrement au repos et en transit obligatoire |
| PCA / PRA | Plan de continuité et de reprise d'activité testé |
| Localisation | Données hébergées dans l'UE (en pratique, en France) |
NIS2 : la nouvelle donne pour les établissements de santé
La directive NIS2, transposée en droit français, classe explicitement le secteur de la santé comme « secteur à haute criticité ». Cela signifie que les hôpitaux, cliniques, laboratoires et pharmacies de taille significative sont désormais soumis à des obligations renforcées en matière de cybersécurité.
NIS2 pour la santé :obligation de déclarer les incidents significatifs à l'ANSSI, mise en place d'une gouvernance cyber formalisée, analyse de risques de la chaîne d'approvisionnement, et sanctions pouvant atteindre 10 millions d'euros ou 2 % du CA mondial.
Comment articuler RGPD, HDS et NIS2 ?
Ces trois réglementations ne sont pas contradictoires mais complémentaires. La clé est de construire un socle commun de sécurité qui satisfait les exigences croisées :
Socle commun : la gouvernance
Un RSSI (ou responsable cyber) désigné, un DPO en place, une politique de sécurité formalisée. Cette base organisationnelle répond simultanément aux exigences RGPD (accountability), HDS (SMSI) et NIS2 (gouvernance).
Analyse de risques unifiée
Une seule analyse de risques (EBIOS RM ou ISO 27005) peut couvrir les trois cadres si elle intègre les données personnelles (RGPD), les données de santé (HDS) et les systèmes essentiels (NIS2).
Plan d'action priorisé
Commencez par les mesures qui couvrent le plus de terrain : chiffrement, contrôle d'accès, journalisation, gestion des incidents. Ces mesures techniques répondent aux trois réglementations simultanément.
Feuille de route en 5 étapes
Cartographier
Inventaire des systèmes, des flux de données de santé, des sous-traitants et des hébergeurs
Évaluer
Analyse de risques unifiée couvrant RGPD, HDS et NIS2 + audit technique (pentest, scan de vulnérabilités)
Prioriser
Plan d'action avec les mesures à impact maximal en premier (MFA, chiffrement, sauvegardes, segmentation réseau)
Implémenter
Déploiement des mesures techniques et organisationnelles, formation des équipes, mise en place des procédures d'incident
Maintenir
Audits réguliers, veille réglementaire, exercices de crise, revue annuelle de la politique de sécurité
Vous êtes dans le secteur santé ?
NetMeSafe accompagne les structures médicales dans leur mise en conformité RGPD, HDS et NIS2. Diagnostic initial, audit technique et plan d'action : on s'adapte à votre contexte.
Échanger avec un expert santé