en 2026🛡 SHIELD — Cybersécurité & Conformité · 9 min de lecture · Publié le 18 mars 2026 · HDS · NIS2 · Santé · RGPD · Données patientsLes établissements de santé font face à une double contrainte réglementaire en 2026 : la certification HDS (Hébergeur de Données de Santé) pour tout hébergement de données de santé à caractère personnel, et la directive NIS2 qui s'applique désormais aux établissements de santé.
Le non-respect peut entraîner des sanctions administratives, la suspension d'activité, et — dans le pire des cas — la mise en danger des patients.HDS et NIS2 : deux réglementations distinctes qui se chevauchentLa certification HDSLa certification HDS (Hébergement de Données de Santé) est obligatoire depuis 2018 pour tout prestataire qui héberge des données de santé à caractère personnel pour le compte d'un professionnel de santé ou d'un établissement.
Elle couvre 6 activités réparties en deux blocs : les infrastructures (physiques et virtuelles) et les services managés (administration et exploitation, sauvegarde, infogérance).Pour les établissements de santé eux-mêmes (cliniques, EHPAD, cabinets), l'obligation est de s'assurer que leur hébergeur est certifié HDS — pas de l'être eux-mêmes, sauf s'ils hébergent leurs propres données en interne.La directive NIS2NIS2 s'applique aux établissements de santé à partir de certains seuils de taille, et à tous les établissements qui fournissent des soins critiques.
En France, les hôpitaux publics et les cliniques privées d'une certaine taille sont clairement dans le périmètre. Pour les cabinets médicaux et les EHPAD de petite taille, la situation est plus nuancée — mais la pression des partenaires (hôpitaux, mutuelles, CPAM) se fait de plus en plus sentir.⚠ Point de vigilance 2026 — L'ANSSI a identifié le secteur de la santé comme prioritaire dans son programme de contrôle 2026.
Les premières mises en demeure d'établissements de santé ont été prononcées au premier trimestre 2026.Les 8 risques cyber spécifiques au secteur de la santéRansomware ciblant les SIH — les attaques sur les systèmes d'information hospitaliers ont augmenté de 400% depuis 2020. Le cas de l'hôpital de Corbeil-Essonnes (2022) reste l'exemple le plus médiatisé.Exfiltration de données patients — les données de santé se vendent 10 à 50 fois plus cher que les données bancaires sur le dark webCompromission des équipements médicaux connectés — scanners, pompes à perfusion, moniteurs cardiaques sont souvent sous Windows XP non patchéAttaques sur les messageries sécurisées — Médimailleur et autres messageries médicales sont des cibles privilégiéesVulnérabilités des logiciels métier — les LGO (Logiciels de Gestion des Officines) et DPI (Dossier Patient Informatisé) sont souvent mal maintenusShadow IT médical — les professionnels de santé utilisent souvent des applications personnelles (WhatsApp, Dropbox) pour partager des données patientsIngénierie sociale ciblée — les secrétaires médicales sont des cibles privilégiées du phishingAccès non révoqués — les droits d'accès des anciens employés sont rarement supprimés rapidementLa feuille de route conformité HDS + NIS2 en 5 étapesÉtape 1 — Cartographie et gap analysis (2 à 3 semaines)Identifier tous les systèmes qui traitent des données de santé, leurs modes d'hébergement, les certifications des hébergeurs, et les écarts par rapport aux exigences HDS et NIS2.
Cette cartographie est le document de référence de toute votre démarche de conformité.Étape 2 — Sécurisation des accès (1 à 2 mois)La gestion des identités et des accès est systématiquement le premier point d'amélioration dans les établissements de santé. MFA obligatoire sur toutes les applications critiques, suppression des comptes dormants, révision des droits d'accès par profil, journalisation de tous les accès aux données patients.Étape 3 — Protection des données et chiffrement (1 à 3 mois)Chiffrement des disques sur tous les postes de travail et serveurs, chiffrement des sauvegardes, politique de classification des données, DLP (Data Loss Prevention) sur les messageries et les supports amovibles.Étape 4 — Plan de réponse aux incidents (2 à 4 semaines)Procédure documentée et testée pour les incidents cyber : qui fait quoi, comment qualifier un incident, comment notifier la CNIL (72h) et l'ANSSI (NIS2, 72h), comment communiquer avec les patients si nécessaire.
Ce plan doit être répété en exercice au moins une fois par an.Étape 5 — Formation et sensibilisation (continu)Le maillon humain est le plus vulnérable. Une formation de 2 heures par an sur la reconnaissance du phishing, la gestion des mots de passe et les bonnes pratiques de partage de données réduit drastiquement le risque humain. Dans le secteur de la santé, cette formation doit être adaptée aux contraintes opérationnelles des soignants.Combien de temps pour se conformer — et combien ça coûtePour un cabinet médical ou une petite clinique (< 50 salariés) : 6 à 12 semaines, entre 3 000 et 15 000€ selon la situation initiale.
Pour un EHPAD ou une clinique moyenne (50 à 200 salariés) : 3 à 6 mois, entre 15 000 et 60 000€. Ces budgets incluent la gap analysis, le déploiement des mesures techniques, la rédaction des politiques et la formation.Le coût de la non-conformité est sans commune mesure : une cyberattaque sur un établissement de santé coûte en moyenne 1,2 à 4M€ (chiffrement des données, perte d'activité, communication de crise, restauration des systèmes) — sans compter les conséquences pour les patients.→ Demandez votre gap analysis HDS + NIS2 en 48h — diagnostic et plan de remédiation livré → oandn.tech/#contact