Prestataires cybersécurité pour le secteur Santé

Profil cyber du secteur Santé

Le secteur Santé occupe le troisième rang des secteurs les plus touchés par les cyberattaques en France, avec 10 % des 1 366 incidents traités par l'ANSSI en 2025. La surface d'attaque est particulièrement étendue : hôpitaux publics et privés, cabinets de médecins libéraux, laboratoires d'analyses médicales, établissements médico-sociaux et éditeurs de logiciels médicaux.

La proportion d'attaques par ransomware visant les établissements de santé est de nouveau en hausse par rapport à 2024. Fin 2025, une cyberattaque ciblant le logiciel MonLogicielMedical a conduit à l'exposition des données de 11 à 15 millions de patients, tandis que plusieurs ARS et hôpitaux comme La Loire à Saint-Étienne ou la Haute-Comté à Pontarlier ont été visés entre juillet et octobre 2025.

Les vecteurs d'attaque privilégiés incluent les ransomwares, l'exfiltration massive via des accès compromis, le phishing ciblant les personnels soignants et l'exploitation de vulnérabilités dans les logiciels métiers interconnectés. Les données médicales constituent un butin de premier choix : numéros de sécurité sociale, états civils et comptes rendus médicaux permettent des arnaques au faux conseiller bancaire ou des usurpations d'identité.

Au-delà de NIS2, le secteur Santé doit se conformer à un empilement réglementaire dense : les données de santé sont protégées par le RGPD, la loi Informatique et Libertés et le Code de la santé publique. La certification HDS (Hébergement de Données de Santé) est obligatoire pour toute personne hébergeant des données de santé à caractère personnel pour le compte de tiers, et la Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S) s'applique à l'ensemble des professionnels.

Mesures NIS2 prioritaires pour le secteur Santé

Trois mesures NIS2 doivent être traitées en priorité :

Analyse de risques : la multiplicité des sous-traitants (éditeurs de logiciels métiers, hébergeurs, laboratoires externes) impose une cartographie exhaustive des flux de données et une évaluation continue des dépendances critiques.

Gestion des incidents de sécurité : compte tenu de l'impact direct sur la continuité des soins, chaque établissement doit pouvoir détecter, qualifier et notifier un incident dans les délais réglementaires, tout en maintenant les services vitaux (urgences, blocs opératoires).

Continui té d'activité et gestion de crise : un ransomware peut paralyser un hôpital entier. Les plans de reprise d'activité doivent intégrer des scénarios de bascule sur support papier, des sauvegardes isolées et des procédures de mobilisation d'équipes d'astreinte cyber.

L'hygiène cyber et formation est également cruciale : sensibiliser régulièrement le personnel soignant aux tentatives de phishing et aux bonnes pratiques de gestion des identifiants réduit drastiquement le risque d'intrusion initiale.

Quels prestataires mobiliser

Pour couvrir les exigences NIS2 et sectorielles, les établissements de santé doivent s'appuyer sur plusieurs qualifications ANSSI :

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : indispensable pour l'analyse de risques initiale, les audits d'architecture réseau, les tests d'intrusion sur les logiciels métiers et la vérification de conformité PGSSI-S. La qualification PASSI garantit la méthodologie et l'indépendance du prestataire.

PRIS (Prestataire de Réponse aux Incidents de Sécurité) : en cas d'attaque par ransomware ou d'exfiltration de données, le PRIS intervient pour contenir l'incident, analyser les traces numériques et restaurer les services. La rapidité d'intervention conditionne la préservation des preuves et la reprise d'activité.

PDIS (Prestataire de Détection des Incidents de Sécurité) : pour une surveillance continue des flux réseau, logs systèmes et comportements anormaux. Le PDIS permet de détecter une intrusion avant la phase de chiffrement ou d'exfiltration massive.

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : pour la rédaction de la politique de sécurité, la conduite de projets de mise en conformité NIS2, HDS ou PGSSI-S, et le pilotage des plans de remédiation post-audit.

SecNumCloud : pour les établissements souhaitant externaliser l'hébergement de leurs applications métiers ou dossiers patients, le référentiel SecNumCloud offre des garanties de réversibilité, de traçabilité et de souveraineté supérieures au seul HDS.

Pour le contexte réglementaire NIS2 détaillé de Santé, voir notre fiche complète.

Sources de cette fiche

• https://www.usine-digitale.fr/cybersecurite/laboratoires-hopitaux-cliniques-la-sante-francaise-sous-le-feu-dune-cybercriminalite-de-plus-en-plus-organisee.ZL7NJR6Y6NCDFJ543BDXKRZCLI.html
• https://www.cnil.fr/fr/thematiques/sante
• https://esante.gouv.fr/doctrine/securite
• https://www.prorisk-cyber.com/sante-rgpd-cybersecurite.php