2LRN4 security awareness platform
← Retour à la base de connaissances

Sensibilisation NIS2 pour les organisations de santé

Explication pratique sur nis2 sensibilisation santé pour les organisations qui veulent améliorer durablement les comportements sûrs.

Actuel

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

Les établissements de santé relèvent de la loi française de transposition NIS2 en tant qu'entités essentielles ou importantes dès qu'ils franchissent les seuils sectoriels. Le cadre français combine plusieurs textes spécifiques au secteur de la santé : la PGSSI-S (Politique générale de sécurité des systèmes d'information de santé), le référentiel HDS (Hébergeurs de Données de Santé) pour l'externalisation, les recommandations de l'ANS (Agence du Numérique en Santé) et la surveillance opérationnelle via le CERT Santé. Le RGPD s'applique en parallèle aux données de santé. Pour les organisations établies en Belgique, c'est la loi belge NIS2 du 26 avril 2024 qui s'applique, articulée avec le eHealth-platform fédéral.

Quels établissements de santé sont concernés ?

La loi française de transposition NIS2 désigne comme entités essentielles ou importantes les établissements de santé publics et privés au-delà des seuils habituels (50+ employés ou €10M de chiffre d'affaires). Cela inclut les hôpitaux (CHU, CH, ESPIC, cliniques), les groupements hospitaliers de territoire (GHT), les centres de lutte contre le cancer, les laboratoires de biologie médicale d'une certaine taille, les fabricants et distributeurs pharmaceutiques.

Certains opérateurs critiques de santé peuvent être désignés indépendamment de leur taille, notamment les SAMU, les centres de traumatologie ou les centres de prise en charge des grands brûlés. L'ANSSI est l'autorité nationale de référence, en coordination avec le ministère de la Santé et l'ANS (Agence du Numérique en Santé) pour le pilotage sectoriel.

Les petites structures (cabinets médicaux, pharmacies d'officine, professionnels libéraux) sont en général hors champ direct de la loi NIS2, mais subissent les effets en cascade via les exigences de leurs partenaires (établissements hospitaliers, plateformes d'échange comme MSSanté, hébergeurs HDS).

Risques spécifiques dans la santé

Le secteur de la santé combine plusieurs facteurs de risque qui rendent la sensibilisation particulièrement urgente :

  • Données de patients. Les données de santé sont des données sensibles au sens de l'article 9 du RGPD et ont une valeur élevée sur le marché noir. Une violation déclenche à la fois l'obligation de notification au titre du RGPD (CNIL) et celle de NIS2 (ANSSI, via le CERT Santé).
  • Dispositifs médicaux connectés (IoMT). Pompes à perfusion, respirateurs, IRM, pacemakers ont souvent des cycles de vie longs et des capacités de mise à jour limitées. Une attaque par rançongiciel peut directement mettre en péril la sécurité des patients, comme l'ont montré les attaques contre plusieurs hôpitaux français en 2021-2023.
  • Continuité des soins d'urgence. Contrairement à de nombreux secteurs, un hôpital ne peut pas suspendre son activité le temps d'une remédiation. Les plans de continuité doivent prévoir la prise en charge des patients même en cas de défaillance complète du SI, avec retour au mode papier, transfert de patients et coordination régionale.
  • Hameçonnage et ingénierie sociale. Les soignants travaillent sous contrainte de temps et disposent souvent de droits étendus sur le dossier patient informatisé. Le spear phishing ciblé sur les médecins ou le personnel administratif est un vecteur d'entrée fréquent.
  • Shadow IT et BYOD. Groupes WhatsApp pour les transmissions, emails personnels pour les courriers, terminaux privés en consultation : autant de faiblesses structurelles que la sensibilisation doit adresser explicitement.

Démarche de sensibilisation pour le personnel de santé

Un programme de sensibilisation conforme à NIS2 et aux exigences PGSSI-S combine des modules génériques de sécurité avec des contenus spécifiques au secteur. La PGSSI-S, dans son corpus, identifie explicitement la formation et la sensibilisation comme mesures organisationnelles obligatoires, avec une fréquence et un taux de participation mesurables.

  • Formation par rôle. Distinction entre personnel soignant (focus : données patients, hygiène d'usage du DPI, reconnaissance du phishing), personnel administratif (focus : fraude au président, ingénierie sociale envers la facturation) et personnel IT (focus : réponse aux incidents, développement sécurisé).
  • Fréquence. Au minimum une formation complète annuelle, complétée par des micro-modules trimestriels. En cas de forte rotation (intérim, vacataires), formation d'accueil obligatoire dans les deux semaines suivant la prise de poste.
  • Simulations d'hameçonnage. Scénarios sectoriels : faux courriels d'assurance maladie, demandes simulées de collègues pour accès au DPI, faux messages de l'ARS ou du conseil de l'ordre.
  • Signalement d'incidents. Canal de signalement à faible friction, idéalement via un bouton intégré au DPI ou une adresse de sécurité dédiée. Une culture juste (no-blame) est essentielle, car la sous-déclaration est un problème connu dans le secteur de la santé.
  • Formation des dirigeants. NIS2 et la loi française imposent la formation des organes de direction. Pour un établissement hospitalier, cela concerne le directeur général, le président de la commission médicale d'établissement (CME) et les membres du directoire, qui doivent suivre une formation traçable.

Normes sectorielles : PGSSI-S, HDS et CERT Santé

La PGSSI-S (Politique générale de sécurité des systèmes d'information de santé) est le référentiel français de sécurité applicable aux SI de santé. Elle est portée par l'ANS et fournit des référentiels socle (authentification, imputabilité, identification, etc.) ainsi que des référentiels avancés. Elle s'applique directement aux établissements de santé et aux éditeurs de logiciels de santé.

Le référentiel HDS (Hébergeurs de Données de Santé) impose une certification spécifique pour tout hébergeur de données de santé à caractère personnel. Cette certification, délivrée par un organisme accrédité, est obligatoire dès qu'un tiers héberge des données de santé pour le compte d'un responsable de traitement. Les fournisseurs cloud qui ne disposent pas de cette certification ne peuvent pas être utilisés pour héberger des données de patients.

Le CERT Santé, opéré par l'ANS, est le centre opérationnel de cybersurveillance du secteur santé. Il assure la veille, la diffusion d'alertes, la coordination de la réponse à incident et la liaison avec l'ANSSI au titre de NIS2. Le portail Cyberveille Santé centralise les signalements et les bulletins.

Le RGPD reste applicable en parallèle pour les données personnelles de santé, avec la CNIL comme autorité de contrôle. Une violation de données de santé peut déclencher simultanément la notification CNIL (72h) et la notification CERT Santé/ANSSI au titre de NIS2 (24h en alerte précoce).

Et en Belgique ?

Les organisations de santé établies en Belgique relèvent de la loi du 26 avril 2024 qui transpose NIS2 en droit belge, en vigueur depuis le 18 octobre 2024. Hôpitaux, grands groupements de soins et opérateurs critiques de santé sont en général désignés comme entités essentielles, avec les mêmes seuils qu'en France (50+ employés ou €10M de chiffre d'affaires).

L'autorité de référence est le Centre pour la cybersécurité Belgique (CCB), qui combine point de contact, CSIRT national et autorité de surveillance. Les hôpitaux belges travaillent par ailleurs via le eHealth-platform (institution fédérale relevant de l'INAMI/RIZIV) pour les échanges sécurisés et l'authentification des professionnels (via la carte d'identité électronique). La sensibilisation à l'usage correct des certificats eHealth et des lecteurs de cartes eID est un point d'attention spécifiquement belge.

Le conseil d'administration d'un hôpital belge est responsable de l'approbation des mesures de gestion des risques au titre de NIS2 et doit lui-même suivre une formation. Pour les groupes français disposant d'une filiale en Belgique, la règle d'établissement principal de l'article 26 de NIS2 détermine, entité par entité, la loi nationale applicable en premier lieu.

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page NIS2

Articles connexes

Sources

FAQ

Quels seuils s'appliquent aux établissements de santé ?

Les établissements de santé sont en général désignés comme entités essentielles dès qu'ils dépassent 50 employés ou €10M de chiffre d'affaires. Pour certains opérateurs critiques (SAMU, centres de traumatologie, centres de grands brûlés), la désignation peut intervenir indépendamment de la taille. L'ANSSI et l'ANS publient des guides de cadrage sectoriels.

La loi NIS2 remplace-t-elle la PGSSI-S ?

Non. La PGSSI-S reste le référentiel sectoriel applicable aux SI de santé, porté par l'ANS. NIS2 ajoute une couche réglementaire avec des obligations spécifiques de notification d'incidents, de gouvernance et de supervision par l'ANSSI. En pratique, les deux corpus se complètent : un établissement qui applique correctement la PGSSI-S couvre déjà une grande partie des exigences techniques et organisationnelles de NIS2.

Quelle est l'obligation de notification en cas d'attaque par rançongiciel ?

Les incidents importants doivent être déclarés à l'ANSSI (via le CERT Santé pour le secteur de la santé) en trois phases : alerte précoce sous 24 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois. Si des données de patients sont compromises, la notification CNIL au titre du RGPD est également requise sous 72 heures. Une déclaration à l'ARS peut s'ajouter pour les événements indésirables graves.

Qui est responsable en cas de violation de données dans un hôpital ?

Au titre de NIS2 (loi de transposition française), les dirigeants doivent approuver les mesures de gestion des risques et peuvent voir leur responsabilité personnelle engagée en cas de manquement caractérisé. Au titre du RGPD, l'établissement est responsable de traitement. Sur le plan civil, le directeur d'établissement peut être recherché par la tutelle. Des conséquences pénales sont également possibles en cas de négligence grave.

À quelle fréquence le personnel de santé doit-il suivre une sensibilisation ?

Ni NIS2 ni la PGSSI-S n'imposent une fréquence stricte, mais la norme pratique est une formation complète annuelle complétée par des micro-modules trimestriels. En cas de forte rotation (intérim, vacataires), une formation d'accueil obligatoire dans les deux semaines suivant la prise de poste est recommandée. La participation doit être tracée et documentée.

Mon cabinet médical est-il concerné ?

Un cabinet médical libéral isolé n'est en général pas directement concerné par la loi NIS2, faute d'atteindre les seuils. Le RGPD et les obligations sectorielles (CPS, certification HDS pour l'hébergement, PGSSI-S pour les éditeurs) restent applicables. Les exigences peuvent toutefois se transmettre par contrat lorsque vous échangez avec un établissement de santé ou utilisez une messagerie MSSanté.

Source externe : European Commission - NIS2 Directive

À lire aussi
Reporting conseil d'administration pour la sensibilisation → Reporting et sensibilisation dans le secteur public →
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles