Bienvenue dans le secteur de la santé, là où les vies humaines croisent les réseaux informatiques, les logiciels métiers, les données sensibles, et… les hackers. Oui, même les hôpitaux et les cliniques sont des cibles. Et non, l’antivirus gratuit ne suffit pas.
Ce dossier vous plonge dans le monde des obligations de sécurité numérique et de conformité réglementaire spécifiques au monde médical. On parle RGPD, HDS, NIS2, PRA, EBIOS, MFA, SI-Vital, et même Shadow IT médical. Respirez, on vous guide.
🧬 1. RGPD & Données de Santé : ultra-sensibles, ultra-réglementées
Les données de santé sont classées comme “catégories particulières” par le RGPD. Cela implique des exigences renforcées :
Obligations spécifiques :
- Base légale solide : souvent l’intérêt public ou la mission de santé publique.
- Consentement renforcé quand la base légale n’est pas suffisante.
- DPIA obligatoire (étude d’impact) pour tout traitement à haut risque (ex : DMP, téléconsultation).
- Chiffrement & pseudonymisation recommandés (par la CNIL).
Exemple : Un centre de radiologie envoie des images par e-mail sans chiffrement ? C’est un incident grave à notifier à la CNIL sous 72h. Et un bon avocat à prévoir.
🔒 2. Hébergement HDS : pas de santé sur n’importe quel serveur
HDS signifie “Hébergeur de Données de Santé”. Toute structure externe qui héberge, sauvegarde ou maintient des données de santé doit être certifiée HDS (ISO 27001 + exigences ANS).
Points clés :
- Obligatoire même pour une simple sauvegarde externalisée.
- L’hébergeur doit être certifié et déclaré à l’Agence du Numérique en Santé (ANS).
- Le client (hôpital, médecin, clinique) reste responsable des données.
Astuce SecuSlice : votre prestataire dit qu’il est « sécu » ? Demandez son certificat HDS. Sinon : next.
🛡️ 3. SSI : protéger l’environnement numérique de soins
La Sécurité des Systèmes d’Information dans la santé, ce n’est pas un luxe, c’est un besoin vital. Surtout depuis que les ransomwares raffolent des SIH (systèmes d’information hospitaliers).
Obligations et bonnes pratiques :
- PSSI (politique de sécurité des SI) spécifique au secteur médical.
- Authentification forte (pas juste le mot de passe « azerty »).
- Journaux de connexions et horodatage des actes médicaux.
- Mise à jour régulière des logiciels métier (et pas juste quand ça plante).
Exemple : Le logiciel de gestion de cabinet tourne encore sous Windows 7 ? Une faille bien connue permet de chiffrer tout le réseau en 3 minutes.
🧠 4. Sensibilisation des personnels soignants & administratifs
Entre le médecin pressé, l’infirmière qui connecte son smartphone au Wi-Fi interne, et le secrétariat qui reçoit des .doc douteux, l’humain est souvent le maillon faible.
Mesures efficaces :
- Sessions de sensibilisation courtes mais percutantes : phishing, mots de passe, messagerie sécurisée.
- Procédures simples de signalement d’incident.
- Kit d’accueil cybersécurité pour les nouveaux.
Astuce SecuSlice : organisez un faux test de phishing. Les résultats sont souvent… surprenants. 😬
🚨 5. NIS2 : la directive qui inclut les hôpitaux
La directive NIS2, transposée d’ici octobre 2024, impose des obligations aux acteurs essentiels, dont les établissements de santé publics et privés.
À faire sans tarder :
- Cartographie des actifs numériques (SIH, DPI, télémédecine…).
- Analyse de risque selon EBIOS RM ou ISO 27005.
- Nommer un RSSI ou le mutualiser avec le GHT.
- Plan de notification rapide aux autorités compétentes (ANS, ARS, ANSSI).
🔄 6. PRA & PCA : opérationnels même sous attaque
La continuité des soins doit être assurée même en cas de cyberattaque ou de panne. C’est là qu’interviennent les PRA/PCA santé.
Objectifs :
- Restaurer l’accès aux SI critiques (SIH, DPI, labo) dans les délais définis.
- Mettre à disposition un mode dégradé (papier, serveur de secours local).
- Tester ces scénarios au moins une fois par an.
Exemple réel : un CHU victime de ransomware est repassé à la prise de rendez-vous papier pendant 2 semaines. Un PCA bien rôdé aurait réduit ce délai.
🔑 7. MFA & Authentification forte : non négociable
L’accès aux SI doit être protégé par des moyens multi-facteurs (badge + mot de passe, carte CPS + OTP, etc.).
Bonnes pratiques :
- MFA obligatoire pour tout accès à distance (VPN, TSE, messagerie).
- Sécuriser l’accès aux DPI, même en local.
- Désactiver les anciens comptes automatiquement.
👩⚕️ 8. Logiciels médicaux et IoT : le maillon invisible
Les dispositifs médicaux connectés (pompes à perfusion, PACS, respirateurs…) sont souvent les oubliés de la cybersécurité.
Actions recommandées :
- Isoler les équipements sur des VLAN dédiés.
- Ne jamais exposer un PACS directement sur Internet.
- Tenir un inventaire technique des objets connectés.
Astuce SecuSlice : Scannez régulièrement le réseau avec Nmap ou un outil comme GLPI Inventory pour repérer les intrus (y compris la caméra « baby cam » oubliée).
🧾 Check-list express pour établissement de santé :
| Obligation | Action minimale |
|---|---|
| RGPD | DPIA, DPO, chiffrement |
| HDS | Hébergeur certifié uniquement |
| SSI | PSSI, gestion des droits, logs |
| NIS2 | Analyse des risques, notification incidents |
| PRA/PCA | Plans testés annuellement |
| MFA | Activé sur tout accès critique |
| RH | Sensibilisation, onboarding, sanctions |
| IoT | Inventaire, segmentation réseau |
🎯 Conclusion
Le secteur de la santé est essentiel, et donc une cible. Chaque jour sans mise à jour, sans sensibilisation, sans PRA testé est un jour où les données de vos patients – et leur prise en charge – sont à risque. Ce n’est plus une question d’“est-ce que ça va arriver ?”, mais de “quand”.
Et la prochaine fois qu’un ransomware bloque votre SIH un vendredi soir, vous vous souviendrez de ce dossier. 😉
