Entre résilience et conformité, la cybersécurité santé à l’heure de NIS2

(Crédit photo : David Piolé)

C’est à l’espace culturel des Quinconces, au Mans, qu’a débuté hier le 13ème Congrès National de la SSI Santé. Organisée par l’APSSIS (Association Pour la Sécurité des Systèmes d’Information de Santé), l’édition 2025 a rassemblé quelque 230 décideurs (RSSI, DSI) du secteur de la santé. 

La keynote inaugurale est revenue à Etienne Le Maigat, Directeur de l’offre de soins au sein de l’ARS des Pays de la Loire. « Nos deux principaux enjeux en 2025 sont l’accès aux soins – qui est devenu la principale préoccupation des Français l’an dernier, devant le pouvoir d’achat – et l’efficience du système de santé (…). Nous sommes tous convaincus que la transformation du système de santé ne va pas sans le numérique, ce dernier étant identifié comme un, sinon LE levier majeur pour répondre à ces enjeux », a-t-il déclaré. 

Etienne Le Maigat, Directeur de l’offre de soins au sein de l’ARS des Pays de la Loire (Crédit photo : David Piolé)

Etienne Le Maigat a d’ailleurs rappelé qu’une informatisation massive du système de santé régional a déjà eu lieu, avec une très forte accélération ces quatre dernières années, grâce aux fonds du Ségur de la santé. « Cette informatisation facilite la centralisation de l’information médicale du patient et donc l’amélioration de la prise d’information et de la coordination des soins des professionnels. In fine, cela permet d’accélérer et d’améliorer le diagnostic médical, tout en réduisant la prescription d’examens redondants ».

Plus de signalements, moins d’impact

Les débats de la première journée de congrès ont amené plusieurs représentants institutionnels à s’exprimer. Cela a été le cas de Steven Garnier, Directeur du pôle Cybersécurité de l’ANS (Agence du Numérique en Santé), au sujet de l’observatoire des signalements d’incidents de sécurité des systèmes d’information. « En 2024, 749 incidents ont été signalés par les établissements de santé et les ESMS, contre 581 en 2023. Cela s’explique par la hausse des incidents dits systémiques, comme ceux liés à CrowdStrike, mais aussi par une meilleure connaissance de la chaîne d’alerte. 20 % d’entités supplémentaires ont en effet réalisé en 2024 des signalements par rapport à 2023 » déclare-t-il.

En revanche, le nombre d’incidents impactants est en baisse : « Nous avons opéré 75 interventions techniques en 2024 contre 93 un an plus tôt, avec seulement trois incidents très impactants sur la délivrance des soins, alors que nous en avions eu huit en 2023. La menace nous paraît assez constante, avec 45 % des déclarations liées à des événements d’origine malveillante (taux identique aux années précédentes), mais les impacts baissent. L’an dernier, nous avons ainsi répertorié 40 ransomwares, dont seulement quatre ont réussi à chiffrer plusieurs serveurs dans des établissements », analyse Steven Garnier.

Définir précisément le périmètre de NIS2

L’actualité liée à la transposition de la directive NIS2 a également été traitée par Silvère Ruellan, Chef du bureau santé et affaires sociales au sein de l’ANSSI. « Le projet de loi de transposition de NIS2 suit le cheminement traditionnel de tout projet de loi. Nous mettons à profit ce temps de transposition pour travailler étroitement avec le ministère, l’ANS et tout l’écosystème afin de définir précisément le périmètre de NIS2 dans notre secteur : les établissements de santé, mais aussi l’industrie pharmaceutique, les acteurs des dispositifs médicaux… », note-t-il.

La définition des règles de sécurité qui vont s’appliquer dans le cadre de NIS2 progresse elle aussi. Une consultation, menée début 2024 par l’Anssi, a donné lieu au partage d’une version actualisée du référentiel de règles en mars 2025. « Cette version, encore provisoire, nous semble relativement stable. Elle permet aux futures entités soumises à NIS2 de se projeter sur les objectifs à atteindre et la façon d’y parvenir », commente Silvère Ruellan.

Fuites de données massives : l’État se doit de réagir

Dans le cadre du programme CaRE, le ministère de la santé va accompagner les structures concernées par NIS2 afin qu’elles se mettent en conformité avec la directive. « CaRE n’est pas à proprement parler un dispositif de mise en conformité réglementaire, c’est avant tout un dispositif qui vise une sécurité opérationnelle. Il nous aidera malgré tout à cocher un certain nombre de cases. Il faut par ailleurs avoir en tête qu’un certain nombre d’acteurs concernés par NIS2 ne sont pas dans CaRE. C’est le cas des laboratoires, des centres d’imagerie. Ces acteurs attendent du ministère un accompagnement pédagogique et méthodologique », déclare Christophe Mattler, Directeur de Projet et CTO de la Délégation au Numérique en Santé (DNS).

Le mot de conclusion revient à Patrice Bigeard, FSSI au ministère de la Santé. Il rappelle que de très importants vols de données ont eu lieu en 2023 et 2024 : « NIS2 va se dérouler sur tous les secteurs santé, mais nous mettons en place un plan d’action spécifique auprès d’une centaine d’opérateurs du champ social / santé (hors établissements de santé) qui gèrent de très grands volumes de données. Suite aux millions de données exfiltrées ces deux dernières années, l’État se doit de réagir ».

Créée en 2010 par Vincent Trely, son actuel Président, l’APSSIS fédère et anime l’écosystème français de la SSI santé. Elle agit sur les volets sécuritaires, éthiques et réglementaires de la transformation numérique. À ce jour, l’APSSIS a organisé 13 congrès, 70 formations (soit 1 500 professionnels formés et 5 000 personnes sensibilisées). Elle publie des enquêtes, des études et des guides, notamment sur le thème sur la cyber-résilience.

Vincent Trely, Président Fondateur de l’APSSIS (Crédit photo : David Piolé)