NIS2 dans le secteur de la santé : enjeux et obligations
Le secteur santé est classe hautement critique (Annexe I) par la directive NIS2. Hopitaux, cliniques, laboratoires, fabricants pharmaceutiques : les obligations sont lourdes et les cybermenaces bien reelles.
Pourquoi la santé est ciblee
Le secteur santé est le plus vise par les ransomwares en France. Incidents récents :
- CH Corbeil-Essonnes (2022) : 10 millions de rancon demandee, donnees patients publiées
- CH Versailles (2022) : paralysie complete pendant plusieurs semaines
- CHU Rennes (2023) : exfiltration de donnees médicales
- Hopital de Cannes (2024) : 61 Go de donnees volees
Impact direct sur la prise en charge des patients : reports d'opérations, transferts en urgence, retour au papier.
Obligations NIS2 pour le secteur santé
Les 10 mesures de l'article 21 s'appliquent integralement, avec des enjeux spécifiques :
- Segmentation réseau : isolation des équipements biomedicaux, DMZ pour les systèmes connectes
- Gestion des identités : comptes a privileges pour les praticiens, MFA sur les accès distants
- PCA spécifique santé : procédures degradees garantissant la continuite des soins
- Notification d'incidents : double notification ANSSI (24h/72h/1 mois) + ARS
- Articulation RGPD : donnees de santé = donnees sensibles, DPIA obligatoire
Articulation avec les réglementations santé
Le secteur est déjà soumis a : code de la santé publique, certification HAS, hebergement de donnees de santé (HDS), RGPD renfonce. NIS2 s'ajoute mais permet de mutualiser (ISO 27001 couvre les deux périmètre). Le ReCyF propose des declinaisons sectorielles.
Voir la page secteur santé, les sanctions et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, Annexe I
- ANSSI, rapport menaces santé 2024
- CERT Santé, bulletins d'alerte