Sécuriser une structure de santé en 2026 : méthode NIS 2 et programme CaRE

L'Agence du Numérique en Santé recensait 730 incidents de cybersécurité majeurs déclarés par les établissements et structures de santé en 2024, +47 % sur un an, dont 38 % impliquant un ransomware avec rançon exigée. Pour un dirigeant de centre de santé, de maison de santé pluriprofessionnelle ou de clinique privée, le coût moyen d'un incident cyber se chiffre désormais à 380 000 € selon Hiscox 2024 : rançon éventuelle, arrêt d'activité, restauration des systèmes, sanctions CNIL, perte de patientèle. À l'autre extrémité du spectre, la directive NIS 2 transposée en droit français depuis 2024 impose désormais aux établissements de santé une obligation formelle de gestion des risques cyber, sans seuil minimal pour certaines catégories. Cet article décrit la méthode en six étapes pour fluidifier les opérations sans sacrifier la sécurité des données patients, et chiffre les gains réalistes en moins de six mois.

Pourquoi 2026 est l'année de bascule sécurité santé

Trois pressions structurelles convergent. Première : la directive NIS 2 (network and information security), transposée par l'ordonnance du 24 juillet 2024, qui s'applique désormais aux établissements de santé selon des critères élargis (entités essentielles et entités importantes). Les centres de santé, maisons de santé pluriprofessionnelles à partir d'une certaine taille et la grande majorité des cliniques privées entrent dans le périmètre, avec obligation de gestion des risques, de signalement d'incidents sous 24-72 heures, et de gouvernance documentée. Deuxième : le programme CaRE (Cybersécurité, accélération et Résilience des Établissements) piloté par l'ANS, qui propose un financement public mais en contrepartie d'audits et de plans d'amélioration. Troisième : la pression des assureurs cyber, qui exigent désormais l'authentification multi-facteur (MFA), des sauvegardes hors ligne testées, et une politique documentée de gestion des accès, sous peine de refuser la couverture ou de tripler les primes.

Notre lecture est la suivante. Une structure de santé qui retarde sa mise à niveau cybersécurité en 2026 cumule trois risques simultanés. Sanctions NIS 2 et CNIL (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires). Refus ou explosion de la prime cyber-assurance. Incident effectif (38 % de probabilité annuelle sur l'ensemble du secteur) avec coût moyen de 380 k€. La somme dépasse largement le coût d'un programme structuré, généralement compris entre 35 et 90 k€ sur 12 mois pour une PME de santé.

Le piège classique consiste à confondre conformité RGPD et conformité cybersécurité. Le RGPD impose des obligations de fond sur le traitement des données personnelles ; NIS 2 impose une approche de gestion des risques opérationnels et de résilience. Une structure peut être conforme RGPD et défaillante NIS 2, ou l'inverse. Les deux exigent une approche distincte mais coordonnée.

Méthode en six étapes pour sécuriser les opérations

1. Cartographier le patrimoine numérique sans rien oublier

Six familles d'actifs à inventorier. Postes de travail des praticiens, assistantes et personnel administratif. Serveurs internes (dossiers patients, comptabilité, planning). Solutions cloud externes (logiciels métier référencés Ségur, messagerie, sauvegarde). Équipements médicaux connectés (échographes, ECG, dispositifs d'imagerie, automates de biologie). Objets connectés annexes (caméras, contrôle d'accès, climatisation pilotable). Identités et habilitations (CPS, comptes locaux, comptes administrateurs). Cet inventaire révèle généralement que 30 à 45 % des équipements médicaux connectés tournent sous des systèmes obsolètes (Windows 7, firmware ancien) et constituent les points d'entrée préférés des ransomwares. La cartographie ne doit pas durer plus de 3 semaines pour une PME de santé.

2. Activer l'authentification multi-facteur sur tous les accès sensibles

Trois cibles prioritaires. Comptes administrateurs et superviseurs (100 %, sans exception, et à durcir par jeton physique). Accès distants au système d'information (VPN, bureau à distance, applications cloud) pour 100 % des utilisateurs. Accès aux logiciels métier référencés Ségur, idéalement via Pro Santé Connect avec carte CPS. L'investissement reste modeste (2 000 à 8 000 € pour une PME de 20 à 50 collaborateurs), mais l'impact est massif : la grande majorité des ransomwares se propagent grâce à des identifiants compromis sans MFA. Un cabinet équipé MFA divise par 8 sa probabilité d'incident majeur selon le rapport CESIN 2024.

3. Sécuriser les sauvegardes avec la règle 3-2-1 testée

Trois copies des données critiques, sur deux supports différents, dont une copie hors-ligne ou immutable. Cible concrète pour une PME de santé : sauvegarde quotidienne automatisée sur disque local, réplication chiffrée vers un hébergeur de données de santé certifié HDS différent de votre hébergeur principal, sauvegarde mensuelle hors ligne (cassette magnétique ou disque externe coffré). Test trimestriel de restauration avec mesure du temps réel de retour à la normale (RTO) et de la fenêtre de perte de données acceptable (RPO). Une sauvegarde non testée est statistiquement défaillante à 35 % selon Veeam 2024. Le coût d'une politique 3-2-1 testée pour une PME de santé est de 3 000 à 9 000 € par an, à comparer aux 380 k€ moyens d'un incident.

4. Structurer la matrice d'habilitation et la traçabilité d'accès

Trois rôles minimum à distinguer formellement. Praticien titulaire du dossier : accès complet en lecture et en écriture. Praticien participant aux soins du même patient : accès en lecture aux éléments pertinents, avec traçabilité automatique de la consultation et nécessité de justifier l'accès. Personnel administratif : accès aux données strictement administratives (identité, coordonnées, rendez-vous, facturation) sans accès au contenu médical. Sur les comptes administrateurs informatiques, jamais d'utilisation pour les tâches courantes : un compte standard pour le quotidien, un compte administrateur pour les actions spécifiques. La traçabilité des accès doit être conservée 24 mois et exportable à la demande de la CNIL ou d'une autorité de contrôle.

5. Préparer la gestion d'incident avant qu'il survienne

Quatre éléments à structurer maintenant, pas le jour de l'incident. Plan de réponse à incident écrit, avec contacts d'urgence (responsable sécurité, prestataire de réponse, ANSSI, CNIL), arbre de décision et délais cibles. Procédure de notification CNIL sous 72 heures et de signalement NIS 2 sous 24 heures pour les entités concernées. Exercice de simulation trimestriel sur un scénario réaliste (ransomware sur le système de planning, fuite de données sur une boîte mail compromise). Cyber-assurance avec couverture rançon (en sachant que payer la rançon ne garantit ni la restitution des données ni la cession des attaques : il faut surtout couvrir les frais de remise en service). Sans préparation, le délai moyen de remise en service après ransomware atteint 27 jours en santé selon l'ANS ; avec préparation, il descend à 5-9 jours.

6. Restituer un cockpit dirigeant mensuel en cinq minutes

Une page suffit. État du parc équipements à jour vs obsolète, taux de couverture MFA par catégorie d'utilisateur, sauvegardes effectuées et testées avec succès sur le mois, incidents de sécurité détectés (alertes anti-virus, tentatives d'accès), formations cyber des collaborateurs réalisées vs prévues, alertes RGPD et NIS 2 en attente. Si le cockpit dépasse une page, il dilue l'attention. Si le cockpit ne déclenche pas une décision par mois, il est cosmétique. La cybersécurité ne se pilote pas seulement à la semaine : les bonnes pratiques tiennent dans la durée, pas dans la réactivité.

Indicateurs à suivre dès la première semaine

• Taux de couverture MFA par catégorie d'accès — vérification mensuelle, cible 100 % sur les accès sensibles à 90 jours.
• Taux de succès des restaurations de sauvegarde testées — mesure trimestrielle, cible > 98 %.
• Délai moyen de patching après correctif éditeur — suivi mensuel, cible < 15 jours sur correctifs critiques.
• Part des collaborateurs formés à la cybersécurité dans les 12 mois — mesure annuelle, cible 100 %.
• Nombre d'incidents de sécurité détectés — suivi mensuel (un chiffre nul prolongé est suspect : pas de détection plutôt que pas d'incident).
• Score d'autodiagnostic CaRE — mesure annuelle, base de plan d'amélioration.
• Délai cible de remise en service après incident — validation trimestrielle par exercice, cible < 7 jours.

Cas pratique : maison de santé pluriprofessionnelle, 14 praticiens

Une maison de santé pluriprofessionnelle en Nouvelle-Aquitaine, 14 praticiens, 9 200 patients actifs, présentait fin 2023 un patrimoine numérique fragmenté : trois postes de travail sous Windows 7 toujours en service, sauvegardes ponctuelles sur disque externe non chiffré, aucune authentification multi-facteur, deux comptes administrateurs partagés entre les associés. Un incident de phishing reçu en septembre 2023 sur une assistante avait failli déboucher sur une compromission, stoppée in extremis par la vigilance du responsable informatique externe.

Application de la méthode sur sept mois : cartographie complète du patrimoine, remplacement des trois postes obsolètes (7,2 k€), déploiement MFA sur 100 % des accès sensibles, mise en place de la sauvegarde 3-2-1 avec hébergeur HDS distinct, plan de réponse à incident écrit et testé en exercice de table top, formation cyber des 16 collaborateurs avec rappel trimestriel. Résultats à neuf mois : zéro incident majeur sur l'année (vs deux quasi-incidents l'année précédente), inscription au programme CaRE volet 2 avec subvention de 18 k€ obtenue, prime cyber-assurance maintenue (au lieu d'une majoration de 220 % annoncée par l'assureur en cas d'absence de mise à niveau), conformité NIS 2 et RGPD documentée sans réserve.

Comment OperaFlux structure le pilotage cybersécurité santé

OperaFlux n'est pas un logiciel de cybersécurité ni un anti-virus. La plateforme structure la donnée contractuelle, le pilotage des risques, la conformité RGPD et NIS 2, et la gouvernance au-dessus de votre socle technique, avec passerelles configurables. En pratique, les capacités utiles sont les suivantes.

• GRC — contrôler le risque contractuel avant qu'il vous coûte : registre des risques cybersécurité aligné NIS 2 et CaRE, registre des traitements RGPD, suivi des contrats hébergeurs HDS et sous-traitants, conformité contractuelle ANS, gestion des incidents et notifications.
• BPM — quand tout avance tout seul, sans vous perdre : workflows d'ouverture et de clôture d'incidents, validation des nouveaux accès avec justification documentée, alertes d'expiration des accès temporaires, rappels de formation cyber et d'audit annuel.
• RH & paie France — sérieux où il faut l'être : paie convention applicable, suivi des habilitations CPS et accès logiciels par collaborateur, formations cyber obligatoires tracées, procédure d'entrée et de sortie avec coupure d'accès documentée.
• ERP — du document à la trésorerie, sans labyrinthe : suivi des contrats cyber-assurance et coût total de possession de la cybersécurité, comptabilité, vision trésorerie sur les engagements de mise à niveau, suivi des aides CaRE.
• Espace conseil — votre cabinet comme une extension Ops : invitation maîtrisée de votre prestataire informatique externe ou délégué à la protection des données externe sur un périmètre précis, sans sur-partage de données patient.

Nous assumons les limites du produit. La protection technique (anti-virus, anti-ransomware, supervision SOC, segmentation réseau, sauvegarde immutable) reste l'affaire de votre prestataire cybersécurité et de votre éditeur de solution. OperaFlux ne se substitue pas à votre logiciel métier référencé Ségur. Comparez les conditions sur la page tarifs ou consultez le détail des modules sur la page fonctionnalités.

Questions fréquentes des dirigeants de structures de santé

Notre structure est-elle vraiment soumise à NIS 2 ?

Trois critères principaux. Centres de santé et maisons de santé pluriprofessionnelles ayant une activité de soins coordonnée et structurée. Cliniques privées et hôpitaux publics dans presque tous les cas. Cabinets individuels en dessous d'un certain seuil de patientèle souvent en dehors du périmètre direct, mais soumis aux mêmes exigences via les obligations RGPD renforcées sur les données de santé. En cas de doute, consulter le décret de transposition de juillet 2024 ou solliciter l'ARS de votre région. La transposition française a élargi le périmètre par rapport au texte européen brut.

Comment financer la mise à niveau cyber via les aides CaRE ?

Trois dispositifs principaux. Le programme CaRE volet 1 (autodiagnostic financé pour 100 % des établissements publics et privés à but non lucratif). Le programme CaRE volet 2 (accompagnement et audits cofinancés, 30 à 70 % selon la taille et la nature). Le programme CaRE volet 3 (sécurisation technique avec déploiement d'outils, cofinancement variable). Une PME de santé peut récupérer 25 à 50 k€ d'aides cumulées si elle s'inscrit dans le calendrier 2025-2027 et démontre un engagement crédible (plan d'amélioration daté, indicateurs cibles).

Faut-il refuser de payer la rançon en cas de ransomware ?

Trois constats partagés par l'ANSSI et l'ANS. Payer la rançon ne garantit ni la restitution complète des données (35 % des paiements ne débouchent sur aucune restitution selon Sophos 2024), ni l'absence de fuite ultérieure. Payer alimente l'écosystème des attaquants et peut constituer un délit sous certaines circonstances. Le mieux est d'avoir une sauvegarde fonctionnelle, un plan de réponse et une cyber-assurance qui couvre les frais de remise en service plutôt que la rançon elle-même. La position officielle des autorités françaises est de ne pas payer.

Quel budget logiciel administratif et accompagnement réaliste ?

Sur la plateforme logicielle administrative complémentaire OperaFlux, comptez 49 € HT par mois en formule standard, avec une réduction bêta de 50 % pour les premiers adoptants éligibles. Sur l'accompagnement cyber-gouvernance, 6 000 € à 14 000 € pour cadrer la cartographie, le plan de réponse à incident et le cockpit dirigeant sur trois mois. La mise à niveau technique elle-même (MFA, sauvegardes, postes obsolètes, formation) représente 15 000 à 60 000 € pour une PME de 10 à 30 collaborateurs, partiellement couverts par CaRE.

Comment articuler le secret professionnel avec une supervision technique externalisée ?

Trois principes. Contrat de sous-traitance RGPD article 28 avec engagement explicite de confidentialité et clause de notification d'incident. Habilitation du prestataire externe encadrée (accès limités, journalisation, durée définie), avec accord du conseil d'administration pour les structures pluriprofessionnelles. Hébergement des journaux et données techniques en Union européenne avec certification HDS si la supervision peut accéder à des données nominatives. Le secret professionnel n'interdit pas la supervision externe : il l'encadre. Un dispositif bien cadré protège mieux la structure qu'une supervision interne mal outillée.

Aller plus loin

Si plus de 30 % de vos accès sensibles ne sont pas protégés par authentification multi-facteur, si vos sauvegardes n'ont pas été testées en restauration sur les 12 derniers mois, ou si vous n'avez pas de plan de réponse à incident écrit, le coût d'inaction sur six mois dépasse aujourd'hui celui d'un cadrage structuré. Comparez les conditions sur la page tarifs ou réservez 30 minutes avec un expert OperaFlux pour chiffrer un diagnostic sur votre structure.