En 2025, alors que la France renforce son arsenal réglementaire face aux cyberattaques dans le secteur de la santé, deux cadres majeurs imposent une refonte complète de la cybersécurité et redessinent les priorités des DSI : la Directive NIS 2 au niveau européen et la certification HDS (Hébergeurs de Données de Santé) à l’échelle nationale.
La transformation numérique du secteur, accélérée par des plans comme le Ségur du numérique, a rendu les établissements de santé plus efficaces, mais aussi plus vulnérables. Ces nouvelles réglementations exigent de l’ensemble des acteurs manipulant ou hébergeant des données de santé — des hôpitaux aux éditeurs de solutions numériques, en passant par les prestataires cloud — qu’ils passent d’une approche défensive à une véritable stratégie de cyber-résilience, où la sauvegarde et la récupération des données deviennent des piliers de la conformité légale et de la continuité des soins.
1. La Directive NIS 2 : L’Impératif de la Résilience
La Directive NIS 2 est la nouvelle législation européenne visant à renforcer la cybersécurité dans les secteurs critiques, dont la santé. Elle remplace la première directive NIS 1 et introduit des exigences beaucoup plus strictes et un champ d’application élargi.
A. Le Renforcement de la Gestion des Risques
NIS 2 impose aux entités essentielles (comme les hôpitaux, les centres hospitaliers et les laboratoires) de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pour la sécurité des réseaux et des systèmes d’information.
Pour la sauvegarde et la récupération, cela se traduit par :
- L’Exigence de Continuité d’Activité : Les établissements de santé doivent disposer d’une stratégie et de plans clairs pour maintenir leurs services opérationnels ou les rétablir rapidement après un incident. Le PRA (Plan de Reprise d’Activité) et le PCA (Plan de Continuité d’Activité) ne sont plus optionnels, ils sont l’un des volets fondamentaux imposés par NIS 2.
- La Sécurité de la Chaîne d’Approvisionnement : L’évaluation des risques ne doit plus se limiter aux systèmes internes (le SIH, ou Système d’Information Hospitalier). Elle doit s’étendre aux fournisseurs de services cloud, aux intégrateurs et aux éditeurs de logiciels. L’ENISA (Agence de l’Union européenne pour la cybersécurité) insiste sur la validation des garanties de cyber-résilience de ces tiers.
B. Les Obligations de Signalement Drastiques
La Directive NIS 2 introduit des délais de signalement extrêmement courts pour les incidents graves :
- Alerte Précoce (dans les 24 heures) : Les établissements de santé doivent notifier l’autorité compétente (l’ANSSI en France) d’un incident significatif.
- Rapport Initial (dans les 72 heures) : Un rapport plus complet doit suivre, décrivant la nature de l’incident, les mesures d’endiguement et l’impact estimé.
Dans le cas d’une attaque par rançongiciel, sans une solution de récupération rapide et fiable, l’établissement de santé se retrouve dans l’incapacité de respecter le délai de 72 heures, car il est d’abord submergé par le chaos opérationnel. La rapidité de la reprise d’activité devient donc un impératif de conformité légale.
2. HDS : La Confiance et la Sécurité des Données au Niveau National
La certification HDS (Hébergement de Données de Santé) est le cadre de référence français qui garantit la sécurité et la confidentialité des données de santé à caractère personnel. Bien que la certification vise principalement les hébergeurs, elle a des répercussions directes sur la stratégie de sauvegarde des hôpitaux :
- Sécurité Physique et Logique : Les exigences HDS en matière de sécurité du système d’information sont très rigoureuses, notamment sur les mesures de détection, d’authentification et de traçabilité.
- Localisation des Sauvegardes : Utiliser des solutions de sauvegarde cloud doit se faire en collaboration avec un prestataire certifié HDS, car même une simple copie des données de santé est soumise à cette réglementation. La non-conformité expose l’établissement de santé à des sanctions de la part de la CNIL (Commission Nationale de l’Informatique et des Libertés).
3. De la Conformité à la Stratégie Technique : Le Plan d’Action
Pour aligner votre cybersécurité sur les exigences combinées de NIS 2 et HDS, les DSI doivent transformer leurs efforts de mise en conformité en une véritable stratégie technique :
A. Le PSSI Intégrateur
Le PSSI (Politique de Sécurité des Systèmes d’Information) doit être révisé pour intégrer clairement les nouvelles contraintes. Il doit spécifier comment la fonction de sauvegarde et récupération répond aux exigences de NIS 2 (résilience et signalement) et de HDS (sécurité et traçabilité).
B. L’Immuabilité, Réponse Technique au Rançongiciel
La menace du rançongiciel est le facteur de risque majeur que ces deux réglementations cherchent à atténuer. Un attaquant cherche désormais à détruire ou à chiffrer non seulement les données primaires, mais aussi les sauvegardes.
- L’Exigence HDS : La traçabilité et l’intégrité des données imposées par HDS nécessitent des mécanismes prouvant que les sauvegardes n’ont pas été modifiées.
- L’Exigence NIS 2 : L’objectif de rétablissement rapide (RTO/RPO) ne peut être atteint que si les sauvegardes sont garanties propres.
La solution technique unique pour ces deux défis est l’immuabilité : la garantie logicielle ou matérielle qu’une sauvegarde ne peut être ni altérée, ni supprimée, ni chiffrée pendant une période définie.
C. L’Automatisation et les Tests Réguliers
L’ENISA et l’ANSSI insistent sur la nécessité de tester régulièrement la capacité de récupération.
- Tests de Récupération (PRA) : Les tests ne doivent plus être des exercices théoriques ; ils doivent démontrer la capacité à rétablir les systèmes critiques (comme le SIH) dans les délais exigés par NIS 2.
- Automatisation : L’adoption de solutions qui automatisent la vérification de l’intégrité des sauvegardes et le processus de restauration réduit l’erreur humaine et garantit la vitesse de réponse face aux délais serrés imposés.
Conclusion : La Cyber-Résilience est la Nouvelle Conformité
La Directive NIS 2 et HDS signalent que l’ère de la conformité basée sur de simples documents est révolue. L’établissement de santé doit prouver sa cyber-résilience par l’efficacité de ses moyens techniques de récupération.
C’est en investissant dans des solutions de sauvegarde modernes (immuabilité, isolation, vérifiabilité) que les centres hospitaliers pourront non seulement éviter les sanctions de la CNIL ou de l’ANSSI, mais surtout garantir la continuité des soins, faisant ainsi de leur stratégie de protection des données un atout stratégique majeur de leur transformation numérique.