Santé et NIS2 : le secteur le plus visé face à des obligations renforcées
Périmètre : quelles entités de santé sont concernées par NIS2
La directive NIS2 élargit considérablement le périmètre des acteurs de santé soumis à des obligations de cybersécurité. Au sein de l'Annexe I (entités essentielles), le secteur santé inclut les établissements de santé publics et privés, les laboratoires de référence, les fabricants de dispositifs médicaux et les industriels pharmaceutiques.
En France, sont directement concernés les CHU, hôpitaux régionaux, cliniques privées, centres de soins de suite et de réadaptation, EHPAD au-dessus des seuils de 250 employés ou 50 M€ de chiffre d'affaires. Les laboratoires de biologie médicale, les groupes de radiologie, les centres d'imagerie, les établissements de dialyse et les structures médico-sociales entrent également dans le champ d'application lorsqu'ils atteignent ces seuils.
La directive couvre aussi les fabricants de dispositifs médicaux critiques — équipements d'imagerie, pompes à perfusion, systèmes de surveillance — ainsi que les industriels de la pharmacie (fabricants de médicaments, de vaccins, grossistes-répartiteurs). La recherche pharmaceutique et biomédicale est également soumise dès lors qu'elle atteint les critères dimensionnels.
La Loi Résilience, en cours d'adoption au Parlement français et dont la promulgation est attendue d'ici l'été 2026, transpose conjointement NIS2, la directive REC (résilience des entités critiques) et le règlement DORA. Cela signifie que certains acteurs de santé devront se conformer simultanément à plusieurs textes, notamment ceux classés opérateurs d'importance vitale (OIV) ou entités critiques.
Cadre réglementaire : articulation de NIS2 avec le corpus santé français
Le secteur santé français dispose déjà d'un arsenal réglementaire sectoriel dense que NIS2 vient compléter sans remplacer. L'Agence du Numérique en Santé (ANS) a publié depuis 2012 la Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S), référentiel d'exigences de sécurité applicable aux établissements de santé, professionnels libéraux et éditeurs de logiciels médicaux. Ce corpus documentaire fixe des règles opposables sur l'identification électronique, la gestion des habilitations, l'intégrité des données et la traçabilité des accès.
La certification Hébergement de Données de Santé (HDS), obligatoire depuis 2018 pour tout hébergeur de données de santé à caractère personnel au sens du RGPD article 9, s'articule avec les exigences PGSSI-S et ISO 27001. Les prestataires cloud, éditeurs SaaS et centres de données qui hébergent des dossiers patients, des prescriptions ou des résultats d'examens doivent obtenir cette certification auprès d'organismes accrédités par l'AFNOR.
NIS2 ajoute à cet environnement des obligations transverses — notification d'incidents sous 24 heures, gestion des risques chaîne d'approvisionnement, responsabilité personnelle des dirigeants — qui dépassent le périmètre strictement sanitaire. Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, définit 20 objectifs de sécurité dont 15 applicables aux entités essentielles et importantes, et 5 supplémentaires (objectifs 16 à 20) réservés aux entités essentielles. Ce référentiel est présenté comme un moyen de se prévaloir de sa conformité lors d'un contrôle ANSSI, tout en restant par défaut non obligatoire.
Les établissements de santé devront donc naviguer entre PGSSI-S (exigences métier santé), HDS (hébergement), ReCyF (conformité NIS2 France) et RGPD (protection des données personnelles). L'ANS a mis en place un programme CaRE (Cybersécurité, accélération et Résilience des Établissements) doté d'un budget de 350 millions d'euros pour accompagner les hôpitaux publics dans la modernisation de leurs SI et le renforcement de leur posture cyber.
Spécificités cybersécurité : double contrainte opérationnelle et données ultra-sensibles
Le secteur santé cumule deux vulnérabilités structurelles majeures : la criticité opérationnelle immédiate (une interruption de service peut mettre en danger des vies) et le statut de données ultra-sensibles au sens du RGPD article 9 (données de santé à caractère personnel). Cette double contrainte fait des établissements de santé des cibles privilégiées pour les attaquants, qui savent que la pression opérationnelle et réglementaire peut inciter au paiement de rançons.
La surface d'attaque s'est élargie avec la numérisation des parcours de soins : dossiers patients électroniques (DPI), systèmes de prescription connectée, dispositifs médicaux en réseau (pompes à perfusion, scanners IRM, télémétrie cardiaque), plateformes de télémédecine et réseaux de partage de l'information (DMP, messageries sécurisées MSSanté). Chacun de ces systèmes constitue un point d'entrée potentiel.
Les dispositifs médicaux (OT santé) représentent une vulnérabilité particulière : souvent connectés à un réseau IT non segmenté, équipés de logiciels propriétaires rarement mis à jour, ils offrent des vecteurs d'accès privilégiés. Selon une étude citée par plusieurs sources du secteur, 70 % des cyberattaques réussies dans les hôpitaux résultent d'erreurs humaines : mots de passe faibles, absence de sensibilisation, mauvaise gestion des accès.
Les vecteurs d'attaque les plus fréquents dans le secteur santé sont le phishing (hameçonnage par courriel), l'exploitation de vulnérabilités non corrigées sur des équipements en fin de vie, les comptes VPN compromis et l'absence de segmentation réseau. L'ANSSI indique dans son Panorama de la cybermenace 2025, publié en mars 2026, que le secteur santé se classe au troisième rang des secteurs les plus touchés en France, concentrant 10 % des 1 366 incidents traités, et que la proportion d'attaques par ransomware visant des établissements de santé est "de nouveau en hausse par rapport à 2024".
Les données médicales constituent un butin de premier choix. Un numéro de sécurité sociale, un état civil, un compte rendu médical et des résultats d'analyses offrent une base idéale pour les arnaques au faux conseiller bancaire, l'usurpation d'identité et la fraude documentaire. Les cybercriminels opèrent en écosystèmes : un premier groupe s'infiltre et exfiltre, un second rachète les données pour les exploiter.
Incidents marquants : quatre cas documentés 2024-2026
Hôpital d'Armentières (11 février 2024) : attaque par le groupe Blackout ayant paralysé 95 % du réseau (serveurs et postes de travail). Le service des urgences a été fermé 72 heures, le plan blanc déclenché. Selon le rapport d'incident, les attaquants avaient obtenu un accès VPN dès décembre 2023, élevé leurs privilèges en janvier 2024 et déployé la charge de chiffrement le 9 février. Le 25 février 2024, 18 Go de données comprenant les dossiers de 950 000 patients ont été publiés sur le darkweb, incluant adresses, numéros de téléphone, antécédents médicaux et documents remontant à 2014. Le coût total de cette attaque a dépassé 2 millions d'euros et, plus d'un an après, l'établissement n'avait pas encore retrouvé un fonctionnement normal.
Hôpital Simone Veil de Cannes (avril 2024) : 61 gigaoctets de données exfiltrées et rendues publiques par un groupe de hackers. Les données comprenaient des dossiers médicaux, des informations personnelles et d'autres renseignements sensibles vendus ou cédés à des tiers.
Groupe Hospitalier Grand Ouest (2-4 octobre 2024) : attaque DDoS ayant perturbé gravement la continuité des soins dans neuf établissements en Bretagne et Pays de la Loire. L'enquête de la gendarmerie a révélé qu'il s'agissait d'une menace interne : l'ancien RSSI du groupe a été interpellé le 17 décembre 2024 et jugé en février 2025 pour entrave à un système de traitement automatisé de données.
Cerballiance (fin mars 2026) : cyberattaque visant le réseau de 700 laboratoires de biologie médicale Cerballiance, filiale du groupe Cerba HealthCare. Selon L'Usine Digitale, l'accès non autorisé est intervenu via un serveur hébergé par un prestataire informatique externe. Les données compromises incluent états civils, identifiants de connexion aux espaces patients, comptes rendus d'analyses médicales et numéros de sécurité sociale. Le nombre exact de personnes touchées n'a pas été communiqué.
L'Agence du Numérique en Santé a recensé 749 incidents déclarés en 2024 dans 558 établissements de santé français, soit une hausse de 29 % par rapport à 2023. Paradoxalement, cette augmentation traduit davantage une meilleure capacité de détection et de signalement qu'une aggravation brute de la menace.
Mesures techniques prioritaires : 5 axes NIS2 essentiels en santé
Les 10 mesures de l'article 21 de NIS2 s'appliquent toutes au secteur santé, mais certaines présentent une criticité particulière compte tenu de la surface d'attaque OT/IT et de la sensibilité des données.
Analyse de risques et sécurité des SI : obligation de réaliser une analyse de risques cyber complète, couvrant à la fois les infrastructures IT classiques et les dispositifs médicaux connectés (OT). La méthode EBIOS Risk Manager de l'ANSSI est recommandée, en articulation avec les exigences PGSSI-S. Les CHU et hôpitaux doivent cartographier les flux de données sensibles, identifier les systèmes critiques (DPI, imagerie, laboratoires) et évaluer les risques de propagation latérale entre réseaux.
Gestion des incidents et notification : NIS2 impose une notification initiale sous 24 heures (alerte précoce), un rapport intermédiaire sous 72 heures et un rapport final sous un mois. Pour les établissements de santé, cela s'ajoute aux obligations RGPD (notification CNIL en cas de violation de données personnelles) et aux remontées vers l'ANS via le CERT Santé. Le ReCyF recommande le recours à un Prestataire de Détection des Incidents de Sécurité (PDIS) ou un Prestataire de Réponse aux Incidents de Sécurité (PRIS) qualifiés ANSSI.
Continuité d'activité et reprise après incident : le secteur santé ne peut tolérer d'interruption prolongée. Les établissements doivent maintenir des plans de continuité d'activité (PCA) et de reprise d'activité (PRA) testés régulièrement. Cela implique des sauvegardes offline isolées du réseau, des architectures résilientes (segmentation réseau stricte, mode dégradé papier documenté) et des procédures de bascule testées lors d'exercices de crise. Le ReCyF impose aux entités essentielles (objectif 15) de réaliser des exercices de crise cyber à intervalles réguliers et recommande le recours à une qualification PACS (Prestataire d'Accompagnement et de Conseil en Sécurité).
Sécurité de la chaîne d'approvisionnement : les hôpitaux dépendent d'un écosystème complexe (éditeurs de logiciels métier, mainteneurs d'équipements médicaux, hébergeurs HDS, plateformes de télémédecine). Le ReCyF (objectif 3) impose de cartographier l'écosystème de tiers, de qualifier contractuellement les exigences de sécurité et de vérifier la conformité des prestataires (certifications ISO 27001, HDS, qualifications ANSSI). La cyberattaque de Cerballiance en mars 2026 a démontré qu'un prestataire externe compromis peut impacter 700 laboratoires simultanément.
Hygiène cyber et formation du personnel : 70 % des intrusions réussies dans les hôpitaux résultent d'erreurs humaines. Les programmes de sensibilisation doivent couvrir l'ensemble des personnels — médicaux, administratifs, techniques — avec des modules adaptés aux risques métier (phishing ciblant les secrétariats médicaux, clés USB contaminées dans les blocs opératoires, comptes VPN compromis). Le ReCyF recommande des campagnes régulières de phishing simulé et des formations au moins annuelles.
Prestataires qualifiés ANSSI à mobiliser dans le secteur santé
Le secteur santé présente une forte dépendance aux prestataires qualifiés ANSSI, notamment pour les entités essentielles soumises aux objectifs 16 à 20 du ReCyF. L'annuaire officiel des prestataires qualifiés ANSSI recense les acteurs éligibles.
PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : indispensable pour les audits de sécurité annuels imposés aux entités essentielles (objectif 16 du ReCyF). Les PASSI réalisent des tests d'intrusion, des audits d'architecture, des revues de configuration et des analyses de vulnérabilités sur les SI hospitaliers. Les CHU classés OIV doivent recourir à un PASSI-LPM (qualifié pour les opérateurs d'importance vitale).
PRIS (Prestataire de Réponse aux Incidents de Sécurité) : essentiel pour la gestion de crise cyber. Un PRIS intervient en urgence pour contenir une attaque, réaliser l'analyse forensique, assister à la remédiation et produire les preuves nécessaires aux dépôts de plainte. Le retour d'expérience d'Armentières montre que la qualité de la réponse initiale conditionne l'ampleur des dégâts et le délai de récupération.
PDIS (Prestataire de Détection des Incidents de Sécurité) : pour les établissements qui n'ont pas les moyens d'un SOC interne, un PDIS qualifié offre une supervision 24/7 des journaux de sécurité, la corrélation d'événements et l'alerte précoce en cas d'activité anormale. Le ReCyF encourage ce recours pour atteindre l'objectif de détection rapide (objectif 14).
PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : pour structurer la gouvernance cyber, rédiger la PSSI, conduire l'analyse de risques EBIOS RM, préparer les exercices de crise et accompagner la mise en conformité NIS2. Le ReCyF mentionne explicitement la possibilité de se prévaloir d'une prestation PACS qualifiée lors d'un contrôle ANSSI.
Les établissements de santé doivent également vérifier que leurs hébergeurs de données détiennent la certification HDS à jour et que leurs éditeurs de logiciels médicaux respectent les exigences PGSSI-S. La convergence entre NIS2, PGSSI-S et RGPD impose une approche intégrée du pilotage de la conformité.
Calendrier et prochaines étapes : MonEspaceNIS2, ReCyF et échéances 2026
La Loi Résilience, adoptée au Sénat en mars 2025 et votée en commission spéciale à l'Assemblée nationale en septembre 2025, devrait être promulguée au second trimestre 2026, avec publication des décrets d'application et des arrêtés techniques à l'été 2026. Le texte transpose simultanément NIS2, la directive REC et le règlement DORA.
Depuis le 24 novembre 2025, l'ANSSI a ouvert le pré-enregistrement sur MonEspaceNIS2, plateforme officielle permettant aux entités concernées de s'auto-évaluer, de déclarer leur périmètre et d'anticiper leurs obligations futures. Les établissements de santé sont vivement encouragés à s'inscrire dès maintenant pour bénéficier de l'accompagnement ANSSI.
Le Référentiel Cyber France (ReCyF), publié le 17 mars 2026 en version document de travail, structure 20 objectifs de sécurité. Les objectifs 1 à 15 s'appliquent à toutes les entités (essentielles et importantes), les objectifs 16 à 20 sont réservés aux entités essentielles. Ce référentiel constitue la colonne vertébrale opérationnelle de NIS2 en France : les entités qui l'appliquent peuvent s'en prévaloir lors d'un contrôle ANSSI. L'ANSSI a également mis en ligne un outil de comparaison de référentiels permettant de mettre en regard ReCyF, ISO 27001, PGSSI-S et les autres normes sectorielles.
Les établissements de santé doivent d'ores et déjà engager les chantiers suivants : cartographie des systèmes critiques (IT et OT médical), analyse de risques EBIOS RM, revue et durcissement des configurations (hardening), segmentation réseau stricte entre DPI/imagerie/OT et réseaux administratifs, révision des contrats avec les tiers (éditeurs, mainteneurs, hébergeurs) pour y intégrer les clauses NIS2, mise en place d'un dispositif de supervision et de détection (PDIS ou SOC interne), formation et sensibilisation du personnel, et réalisation d'exercices de crise cyber au moins annuels.
L'articulation entre NIS2, PGSSI-S, HDS, RGPD et le programme CaRE impose une gouvernance transverse. Les directions générales des CHU et hôpitaux doivent désormais porter la cybersécurité au même niveau que la continuité des soins : c'est une condition sine qua non de la résilience opérationnelle et de la protection des patients. Les sanctions prévues par la Loi Résilience (amendes jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, responsabilité personnelle des dirigeants) renforcent cette nécessité d'une implication directe de la direction dans la gouvernance cyber.
Pour approfondir votre démarche de conformité, consultez notre guide opérationnel NIS2, explorez les autres secteurs concernés et identifiez les prestataires qualifiés adaptés à vos besoins.