NIS2 et secteur de la santé : obligations et mise en conformité
Le secteur de la santé est devenu l'une des cibles privilégiées des cyberattaques. En France, les établissements de santé ont subi plus de 730 incidents de sécurité en 2025, soit une augmentation de 45 % en deux ans selon le CERT Santé. L'attaque contre le Centre Hospitalier de Corbeil-Essonnes en 2022 ou la paralysie de l'Hôpital de Versailles ont marqué les esprits et démontré la vulnérabilité critique de ce secteur.
Avec la directive NIS2, l'Union européenne place la santé parmi les secteurs « hautement critiques », imposant des obligations de cybersécurité renforcées à un périmètre d'acteurs bien plus large que la directive NIS1. Ce guide détaille les implications concrètes pour les acteurs de la santé en France.
1. Pourquoi la santé est-elle un secteur à risque majeur ?
1.1. La valeur des données de santé
Les données de santé figurent parmi les plus sensibles et les plus valorisées sur le marché noir. Un dossier médical complet se négocie entre 250 € et 1 000 € sur le dark web — soit 10 à 40 fois plus qu'un numéro de carte bancaire. Ces données sont exploitables pour la fraude à l'assurance, l'usurpation d'identité médicale, le chantage ou l'espionnage industriel pharmaceutique.
Contrairement à un numéro de carte bancaire que l'on peut révoquer, un dossier médical contient des informations permanentes (pathologies, antécédents, données génétiques) dont l'exposition est irréversible.
1.2. Des systèmes d'information complexes et hétérogènes
Les établissements de santé présentent des caractéristiques qui les rendent particulièrement vulnérables. L'hétérogénéité des systèmes d'information (dossier patient informatisé, imagerie médicale, objets connectés biomédicaux, systèmes de gestion administrative) crée une surface d'attaque étendue. De nombreux équipements biomédicaux fonctionnent sous des systèmes d'exploitation obsolètes, impossibles à mettre à jour sans compromettre leur certification.
La priorité donnée à la disponibilité des soins rend difficile l'application de certaines mesures de sécurité standard (redémarrages pour mises à jour, segmentation réseau stricte, restrictions d'accès).
1.3. L'impact vital des cyberattaques
Dans le secteur de la santé, une cyberattaque ne se traduit pas uniquement par des pertes financières. Elle peut directement mettre en danger la vie des patients. Un rançongiciel qui paralyse un système d'information hospitalier force le report d'opérations chirurgicales, rend inaccessibles les dossiers médicaux, bloque les systèmes de prescription et contraint l'établissement à fonctionner en mode dégradé pendant des semaines, voire des mois.
2. NIS2 appliquée au secteur de la santé : qui est concerné ?
2.1. Les entités essentielles du secteur santé
La directive NIS2 classe la santé parmi les secteurs « hautement critiques ». Sont considérés comme entités essentielles les acteurs suivants :
- Les établissements hospitaliers publics et privés (CHU, CH, cliniques MCO, SSR, psychiatrie)
- Les laboratoires de biologie médicale et de recherche pharmaceutique
- Les fabricants de dispositifs médicaux critiques (imagerie, monitoring, implants connectés)
- Les entreprises pharmaceutiques (fabrication, distribution, grossistes-répartiteurs)
- Les plateformes de télémédecine et les hébergeurs de données de santé (HDS)
2.2. Les entités importantes
Au-delà des entités essentielles, NIS2 couvre également comme entités importantes :
- Les éditeurs de logiciels m édicaux (DPI, LGC, RIS, PACS)
- Les prestataires d'infogérance spécialisés santé
- Les organismes complémentaires de santé (mutuelles, assurances santé)
- Les centrales d'achat hospitalières et les groupements de coopération sanitaire (GCS)
2.3. Critères de taille et exceptions
En principe, NIS2 s'applique aux entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires. Cependant, dans le secteur de la santé, certaines entités sont couvertes indépendamment de leur taille : les prestataires de services de confiance qualifiés, les fournisseurs de services DNS et les entités identifiées comme critiques par les autorités nationales.
3. Les obligations spécifiques pour les acteurs de la santé
3.1. La gouvernance de la cybersécurité
NIS2 exige que les organes de direction (directeur d'établissement, conseil d'administration) assument la responsabilité de la cybersécurité. Concrètement, cela implique :
- La validation d'une politique de sécurité des systèmes d'information (PSSI) au plus haut niveau
- L'allocation de ressources dédiées (budget, personnel, formation)
- La formation obligatoire des membres de la direction aux enjeux de cybersécurité
- La mise en place d'un comité de pilotage cybersécurité avec un reporting régulier à la direction
3.2. L'analyse et la gestion des risques
Les entités du secteur santé doivent mettre en œuvre une approche fondée sur les risques, adaptée aux spécificités de leurs activités. L'analyse de risques doit couvrir l'ensemble du périmètre : systèmes d'information cliniques, biomédicaux, administratifs et logistiques. Elle doit intégrer les risques liés à la chaîne d'approvisionnement (éditeurs de logiciels, prestataires de maintenance, fournisseurs de dispositifs médicaux).
3.3. La gestion des incidents
La directive impose des délais de notification stricts en cas d'incident significatif :
- Alerte initiale dans les 24 heures suivant la détection de l'incident
- Notification détaillée dans les 72 heures avec une évaluation de l'impact
- Rapport final dans un délai d'un mois comprenant l'analyse des causes, les mesures correctives et les enseignements tirés
Pour le secteur santé, le signalement doit être effectué auprès de l'ANSSI et du CERT Santé, en complément de la déclaration à la CNIL lorsque des données personnelles de santé sont compromises (obligations croisées NIS2 et RGPD).
3.4. La continuité des soins
La spécificité du secteur santé réside dans l'obligation de maintenir la continuité des soins en toutes circonstances. Les plans de continuité d'activité (PCA) et de reprise d'activité (PRA) doivent intégrer des scénarios de cyberattaque et garantir le fonctionnement minimal des services critiques : urgences, réanimation, bloc opératoire, pharmacie, laboratoire.
3.5. La sécurité de la chaîne d'approvisionnement
NIS2 impose une évaluation rigoureuse de la sécurité des prestataires et fournisseurs. Dans le secteur santé, cela concerne particulièrement :
- Les éditeurs de logiciels médicaux (exigences de développement sécurisé, gestion des vulnérabilités)
- Les hébergeurs de données de santé (certification HDS, conformité SecNumCloud)
- Les fabricants de dispositifs médicaux connectés (sécurité by design, mises à jour de sécurité)
- Les prestataires de maintenance biomédicale (accès distants sécurisés, traçabilité)
4. Plan de mise en conformité pour les établissements de santé
4.1. Phase 1 — Diagnostic (mois 1-2)
- Réaliser un état des lieux de la maturité cybersécurité (référentiel ANSSI, guide HAS)
- Cartographier le système d'information : applications cliniques, biomédicales, administratives, réseaux, accès distants
- Identifier les écarts entre la situation actuelle et les exigences NIS2
- Évaluer les risques par criticité (impact sur la continuité des soins)
4.2. Phase 2 — Renforcement (mois 3-6)
- Déployer l'authentification forte sur tous les accès critiques (DPI, serveurs, VPN)
- Segmenter les réseaux : séparer le réseau biomédical du réseau administratif et du réseau invités
- Mettre en place une solution de détection des incidents (SOC, SIEM ou MDR externalisé)
- Formaliser et tester les procédures de gestion de crise cyber
- Lancer un programme de sensibilisation adapté aux différents profils (soignants, administratifs, techniques)
4.3. Phase 3 — Conformité (mois 6-12)
- Rédiger et faire valider la PSSI par la direction
- Contractualiser les exigences de sécurité avec les prestataires critiques
- Mettre en place le processus de notification des incidents conforme à NIS2
- Réaliser un exercice de crise cyber impliquant la direction et les équipes opérationnelles — un CERT spécialisé peut accompagner cette démarche
- Documenter l'ensemble du dispositif pour démontrer la conformité en cas de contrôle
5. Les sanctions applicables
Les entités essentielles du secteur santé qui ne respectent pas les obligations NIS2 s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Au-delà des sanctions financières, les dirigeants peuvent voir leur responsabilité personnelle engagée en cas de manquement grave à leurs obligations de gouvernance.
Dans le secteur de la santé, la cybersécurité n'est pas une contrainte réglementaire : c'est une obligation éthique envers les patients dont nous protégeons les données et la continuité des soins.
Conclusion
La directive NIS2 marque un tournant pour la cybersécurité du secteur de la santé en France. Elle impose aux établissements et à leurs partenaires technologiques d'atteindre un niveau de maturité que beaucoup n'ont pas encore. Le calendrier est serré, les exigences sont élevées, mais les enjeux — la protection des patients et de leurs données — justifient pleinement cet effort. Les établissements qui anticipent leur mise en conformité bénéficieront d'un avantage décisif, tant en termes de sécurité réelle que de positionnement face aux tutelles et aux partenaires.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit