Aller au contenu principal
NIS2Certify
Retour à l'aperçu

NIS2 pour les établissements de santé : ce que les MSP doivent livrer

Par NIS2Certify
nis2santemspsecurite-chaine-approvisionnementarticle-21
NIS2 pour les établissements de santé : ce que les MSP doivent livrer

Un hôpital en Europe reçoit une alerte rançongiciel à 2 heures du matin. L'équipe d'astreinte sait exactement quelle connexion fournisseur constitue le point d'entrée. Elle ne parvient pas à la couper assez vite. Le temps que le lien soit rompu, le chiffrement s'est propagé aux systèmes d'imagerie, et la chirurgie programmée est annulée pour trois jours.

Ce scénario n'a rien d'hypothétique. Les données de menace de l'ENISA montrent que le secteur de la santé est le secteur critique le plus visé par les rançongiciels dans l'EU, et une enquête récente a révélé que moins d'un prestataire de santé européen sur trois peut isoler un fournisseur Tier-1 compromis en moins de 90 minutes. Sous NIS2, cet écart n'est plus seulement une gêne opérationnelle. C'est un manquement à la conformité assorti d'une responsabilité personnelle.

Si vous dirigez un MSP ou conseillez des hôpitaux, cliniques, laboratoires ou fabricants de dispositifs médicaux, la santé est désormais l'un des secteurs NIS2 où les enjeux sont les plus élevés. Voici ce que la directive exige réellement de ces clients, et où se situe le travail concret.

Les entités de santé sont « essentielles » — le niveau le plus strict de NIS2

NIS2 répartit les organisations réglementées entre entités essentielles et entités importantes. Les hôpitaux et la plupart des prestataires de santé relèvent de la catégorie essentielle, qui impose le régime de supervision le plus lourd.

Le seuil de taille concerne plus d'acteurs qu'on ne le pense : une entité comptant au moins 50 employés ou réalisant 10 millions d'euros de chiffre d'affaires annuel ou de total de bilan entre dans le champ d'application. En pratique, cela vise la plupart des hôpitaux, les grands laboratoires de diagnostic, les fabricants pharmaceutiques et les grandes entreprises de dispositifs médicaux. De nombreuses cliniques privées de taille moyenne et groupes de laboratoires franchissent ce seuil sans s'en rendre compte.

La différence entre essentielle et importante n'est pas cosmétique. Les entités essentielles font l'objet d'une supervision ex ante — audits proactifs, inspections sur site et analyses de sécurité même lorsque rien ne s'est produit. Les entités importantes sont supervisées de manière réactive, après un incident ou une plainte. Pour vos clients de santé, partez du principe qu'un auditeur peut se présenter sans préavis.

La NIS2 s'applique-t-elle à votre organisation ?
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
OuiNon
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
OuiNon
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
OuiNon
La NIS2 ne s'applique pas directement à votre organisation.
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'applique
Possiblement applicable
Ne s'applique pas

Le conseil d'administration est personnellement responsable, et les revues trimestrielles doivent être consignées

L'Article 20 de NIS2 place le risque cyber sous la responsabilité de l'organe de direction. Pour un hôpital, cela signifie que le conseil ou la direction ne peut pas déléguer cette responsabilité à « l'informatique » et l'oublier. Il doit approuver les mesures de gestion des risques, superviser leur mise en œuvre et suivre une formation en cybersécurité.

Le test pratique appliqué par les auditeurs est la documentation. L'entité peut-elle démontrer des revues du risque cyber consignées au niveau du conseil au moins une fois par trimestre ? Existe-t-il des traces de participation de la direction aux formations ? Existe-t-il un registre des questions montrant que le conseil a interrogé la posture de sécurité plutôt que de l'approuver sans examen ?

En cas de non-conformité répétée ou grave, les autorités de supervision peuvent imposer une interdiction temporaire aux personnes occupant des fonctions de direction. Un directeur d'hôpital peut, en principe, être écarté de ses fonctions. C'est le type de conséquence qui pousse un conseil à prendre une revue trimestrielle au sérieux — votre travail consiste à lui fournir la piste de preuves qui démontre qu'il l'a fait.

Les dix mesures de l'Article 21, traduites pour un environnement clinique

L'Article 21 énumère dix mesures de base que toute entité concernée doit mettre en œuvre. Dans la santé, elles se déclinent de façons spécifiques, parfois délicates :

L'analyse des risques et les politiques de sécurité des systèmes d'information doivent couvrir des systèmes cliniques qui n'ont jamais été conçus avec la sécurité à l'esprit — serveurs d'imagerie PACS hérités, pompes à perfusion et moniteurs de chevet fonctionnant sous des systèmes d'exploitation non maintenus. On ne peut pas corriger un contrôleur d'IRM vieux de 12 ans, la mesure devient donc la segmentation réseau et des contrôles compensatoires, documentés comme tels.

La gestion des incidents doit fonctionner alors que les personnes détectant l'incident sont des cliniciens, et non des analystes de sécurité. Le contrôle qui compte est celui qui permet à un hôpital de repérer un incident de sécurité avant qu'il n'affecte les soins aux patients.

La continuité d'activité et la gestion des sauvegardes sont le point où la sécurité des personnes rencontre la conformité. L'entité doit pouvoir continuer à dispenser des soins lorsque les systèmes sont hors service, ce qui implique un basculement testé pour le dossier patient électronique et des sauvegardes hors ligne hors d'atteinte des rançongiciels.

La sécurité de la chaîne d'approvisionnement est la mesure qui expose le plus les hôpitaux. La santé repose sur des fournisseurs d'imagerie tiers, des systèmes d'information de laboratoire, des parcs de dispositifs gérés et, de plus en plus, des plateformes de diagnostic AI. NIS2 exige que l'entité gère le risque dans ces relations — et qu'elle soit capable de couper rapidement une connexion compromise.

Article 21 — 10 Mesures de Cybersécurité NIS2
Article 21
10 Mesures de Cybersécurité
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Si vous souhaitez le détail complet des dix mesures, consultez notre guide sur les dix mesures de l'Article 21 expliquées.

Le risque fournisseur est la mesure qui échouera la première aux audits

Le chiffre sur l'isolation des fournisseurs mérite qu'on s'y arrête : moins d'un tiers des prestataires de santé européens estiment pouvoir isoler complètement un fournisseur Tier-1 ou une plateforme AI en moins d'une heure et demie. De nombreux responsables cyber considèrent désormais l'isolation en moins d'une heure comme le véritable objectif pour la sécurité des patients.

NIS2 ne permet pas à un hôpital de désigner son fournisseur et de s'en laver les mains. La directive rend l'entité responsable de la gestion du risque de la chaîne d'approvisionnement, ce qui implique des livrables concrets : un inventaire des fournisseurs cartographiant quel tiers touche quel système clinique, des clauses de sécurité inscrites dans les contrats fournisseurs, et une procédure testée pour déconnecter un fournisseur compromis sans interrompre les soins aux patients.

C'est un terrain fertile pour les MSP et les consultants. La plupart des hôpitaux n'ont aucune cartographie actuelle de leur connectivité fournisseur, aucune base de sécurité contractuelle et aucun plan d'isolation répété. Construire ces trois artefacts constitue une mission claire et cadrée qui comble directement la faille la plus à risque de l'Article 21. Pour le volet contractuel en particulier, notre décryptage des contrats fournisseurs au titre de l'Article 21 couvre les clauses qui tiennent la route.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel

La déclaration d'incident suit un calendrier qui ignore les priorités cliniques

Lorsqu'un incident déclarable survient, NIS2 impose un calendrier en série qui ne s'interrompt pas pour les visites en service. Une alerte précoce au CSIRT national ou à l'autorité compétente dans les 24 heures. Une notification complète de l'incident dans les 72 heures, incluant une évaluation initiale de la gravité et de l'impact. Un rapport final dans un délai d'un mois.

Dans un hôpital, la difficulté n'est pas le détail technique — c'est de disposer d'une personne dont le rôle est de produire ces déclarations pendant que le personnel clinique gère les retombées opérationnelles. Le contrôle qui passe un audit est un rôle nommé, un modèle de déclaration testé et un arbre de décision définissant ce qui est déclarable.

Calendrier de Notification des Incidents NIS2
24h
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72h
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1mo
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.

Un hôpital qui découvre ses obligations de déclaration pendant l'incident a déjà échoué au test de préparation. Le modèle et la personne responsable nommée doivent exister au préalable. Notre décryptage des délais de déclaration d'incident détaille le calendrier en profondeur.

L'EU construit un soutien spécifique à la santé — servez-vous-en comme feuille de route

En janvier 2025, la Commission a publié un plan d'action de l'EU pour la cybersécurité des hôpitaux et des prestataires de santé. Son déploiement s'étale sur 2025 et 2026, et il indique vers où se dirige l'attention réglementaire.

Le plan propose un Centre de soutien à la cybersécurité paneuropéen géré par l'ENISA, offrant des orientations, outils et formations adaptés aux prestataires de santé. Il inclut un service d'alerte précoce à l'échelle de l'EU délivrant des alertes de menace en quasi temps réel, visé pour 2026. Et il prévoit des plans de réponse spécifiques aux rançongiciels pour les organisations de santé.

Pour un consultant, le plan d'action est une carte de priorisation gratuite. Les thèmes dans lesquels la Commission investit — alerte précoce, plans de réponse aux rançongiciels, risque fournisseur — sont exactement les contrôles que les auditeurs s'attendront à voir gagner en maturité. Bâtissez les programmes de vos clients de santé selon ces axes et vous serez aligné à la fois sur la directive et sur la direction prise.

Par où commencer avec un client de santé

La voie la plus rapide vers une posture défendable consiste à trouver les failles avant qu'un auditeur ne le fasse. Commencez par une évaluation de préparation structurée : confirmation du périmètre, cartographie honnête des systèmes cliniques et de leur dette de sécurité, inventaire de la connectivité fournisseur, et vérification des preuves de gouvernance au niveau du conseil.

Cela vous donne une liste de remédiation priorisée plutôt qu'un vague sentiment qu'« il faudrait faire quelque chose pour NIS2 ». Pour la plupart des clients de santé, les trois premiers points seront les mêmes — capacité d'isolation des fournisseurs, sauvegardes testées du dossier patient, et un processus de déclaration d'incident documenté avec un responsable nommé.

Si vous voulez un point de départ rapide et structuré que vous pouvez exécuter avec un client de santé dès cette semaine, notre quick scan cartographie sa posture actuelle au regard des exigences de NIS2 et vous fournit la liste des failles autour de laquelle construire la mission.

La santé est le domaine où les enjeux de NIS2 sont les plus élevés, où la dette technique héritée est la plus profonde et où le risque fournisseur est le plus exposé. Cette combinaison est difficile pour les hôpitaux — et c'est exactement le type de travail que les MSP et les consultants sont positionnés pour s'approprier.

    NIS2 pour les établissements de santé : ce que les MSP doivent livrer — NIS2Certify