Sécurité

La régulation en matière de cybersécurité se développe au niveau européen comme au niveau national et sectoriel avec de nombreuses réglementations dédiées à la sécurité des systèmes d’information ou intégrant en partie des principes de sécurité :

Au sein du panorama des textes présentés plus haut, deux réglementations dédiées à la sécurité des SI amènent des évolutions très significatives pour le secteur santé :

• La directive NIS2, en cours de transposition en France, va imposer des exigences de sécurité à un certain nombre d'entités (dites importantes ou essentielles), en fonction de leur appartenance à un secteur (par exemple les prestataires de soins) et de leur taille. Elle impose notamment aux établissements concernés de gérer les risques liés à leur SI et à leur chaîne d’approvisionnement. Elle fait suite, en la remplaçant, à la directive NIS, qui avait créé les Opérateurs de Services Essentiels (OSE).
   
• Le règlement Cyber Resilience Act (CRA) vise à renforcer la cybersécurité de l’ensemble des produits sur le marché européen comportant des éléments numériques. Il concerne la plupart des fabricants et impose des exigences qui visent à garantir la résilience de leurs produits face aux cybermenaces. Les fournisseurs de services numériques sont notamment concernés. Le délai de mise en œuvre est variable selon les exigences.

D’autres réglementations portant sur des thématiques plus larges comportent également des exigences de sécurité des SI : Réglement de l’Espace Européen de de Données de Santé, AI Act, Loi de Programmation Militaire…
 

La PGSSI-S

La Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S) fixe un cadre pour protéger les informations personnelles et garantir la confiance des usagers du secteur de la santé, en cohérence avec la régulation en cybersécurité européenne et nationale.
Elle se compose notamment de référentiels publiés au Journal Officiel par arrêté  prévu par l’Article L.1470-5 qui définissent les règles applicables au secteur santé sur des thématiques spécifiques. 
Chacun des référentiels est le fruit de groupes de travail composés d’institutionnels, de représentants d’établissements, de professionnels de santé et d’industriels. 
La PGSSI-S joue aussi un rôle essentiel dans l'accompagnement des établissements de santé pour élaborer et mettre en œuvre leurs politiques de sécurité, à travers des guides pratiques proposant des recommandations sur les meilleures pratiques en matière de sécurité, facilitant ainsi l'application concrète des référentiels, et pouvant servir de matière première à la formation et sensibilisation.
Les référentiels d’identification électronique des usagers, des personnes morales et des personnes physiques des acteurs des secteurs sanitaires, médico-social et social donnent par exemple des règles et une feuille de route communes à l’ensemble de l’écosystème pour s’authentifier de façon sécurisée sur les services numériques en santé. 
Une nouvelle version de chacun de ces  référentiels sera publiée début 2026 (voir éléments de calendrier, ci-dessous).
Les principales évolutions soumises à la concertation sont les suivantes :
 

• Référentiel d’identification électronique des personnes physiques des secteurs sanitaires, médico-social et social :
  Parmi les principales modifications envisagées, concernant notamment les moyens d’identification électronique autorisés pour les professionnels (personnes physiques), la notion de Moyen d’Identification Électronique de transition, telle que définie pour les professionnels (sans homologation) jusqu’au 01/01/2026 va disparaître.
  Il est néanmoins prévu que les moyens d’identification électronique autres que Pro Santé Connect fassent l’objet d’une attestation de conformité au référentiel avant le 31/12/2026. Cette attestation de conformité pourrait éventuellement comporter des réserves sur certaines exigences pour les fournisseurs d’identité concernés (exemple : synchronisation avec le RPPS, 2FA en local …), jusqu’au 31/12/2028.
  Les travaux à mener pour la mise en conformité des établissements pourront faire l’objet de financements dans le cadre du programme HospiConnect.
   

• Référentiel d’identification électronique des usagers  :
  Sur la partie Usagers, la nouvelle version du référentiel prendra en compte le déploiement en cours de l’Appli Carte Vitale et de fournisseurs d’identité de niveau eIDAS substantiel ou élevé comme France Identité ou France Connect +.
  Compte tenu du niveau de déploiement de ces moyens d’identification électronique à fin 2025, la notion de MIE de transition pour les usagers, imposant déjà l’utilisation de moyens d’authentification à double facteurs, sera prolongée jusqu’au 31/12/2028. L’utilisation de France Connect (simple), avec ajout si nécessaire d’un 2e facteur d’authentification par le fournisseur de service sera donc toujours possible pour les 2 prochaines années (étant entendu que la majorité des fournisseurs d’identité de France Connect (simple) intègrent désormais nativement ce 2e facteur).

Les nouvelles versions des référentiels d’identification électronique Personnes Physiques et Usagers prennent en compte les exigences d’identification électronique du Règlement 2025/327 du 11 février 2025 relatif à l’Espace Européen des Données de Santé (article 16 Gestion de l’Identification) et du Règlement Espace Européen de Données de Santé et du Règlement 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance.

• Article L1470-5 : impose que les services numériques en santé soient conformes aux référentiels d'interopérabilité, de sécurité et d'éthique, afin de garantir l'échange, le partage et la confidentialité des données de santé personnelles.

La certification HDS (Hébergement de Données de Santé) a pour vocation de renforcer la protection des données de santé à caractère personnel et de construire un environnement de confiance autour de la e-Santé et du suivi des patients en France.
Les données de santé à caractère personnel sont des données sensibles.  Leur hébergement doit donc être réalisé dans des conditions de sécurité adaptées à leur criticité. La certification HDS définit les conditions de cet hébergement.
Elle est obligatoire pour toute personne :
 

• qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social;
• pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données;
• ou pour le compte du patient lui-même.

La certification HDS est encadrée par plusieurs textes législatifs et réglementaires qui visent à assurer la sécurité et la confidentialité des données de santé. Ces textes sont principalement le Code de la santé publique et le RGPD. Pour obtenir cette certification, il est impératif que les hébergeurs respectent les exigences définies dans un référentiel de certification élaboré par l’Agence du numérique en santé en concertation avec les parties prenantes (hébergeurs de données de santé, représentants des ENS, fédérations d'établissements de santé...).

Le référentiel de certification HDS s'appuie également sur la norme ISO 27001 de management de la sécurité des SI complétée par des exigences spécifiques au numérique en santé notamment des exigences concourant à la souveraineté imposant un stockage des données de santé au sein de l’Espace Economique Européen et une totale transparence sur le risque d’accès aux données de santé en raison de lois extra européennes.

Comment obtenir la certification HDS ?
La certification HDS est délivrée par un organisme certificateur accrédité par le COFRAC. Le certificat est accordé pour une période de trois ans, avec un audit de surveillance réalisé chaque année.

Évolutions  2026
La loi 2024-449 dite Sécuriser et Réguler l’Espace Numérique (SREN), votée le 21 mai 2024 apporte, notamment dans son article 32, des modifications au Code de la santé publique :

• désormais, la certification HDS devra être requise pour le tiers-archivage de données de santé quand bien même l’acteur est déjà agréé pour les archives publiques;
• obligation de stocker les données dans l’UE,;
• nouvelles stipulations dans le contrat conclu entre l’hébergeur et son client face aux risques de transfert de données à caractère personnel ou d’accès non autorisé à celles-ci.

Le référentiel HDS v2 du 26 avril 2024 contient déjà les précisions requises par SREN.

• Les référentiels de la procédure de certification HDS 

Les exigences Sécurité des Systèmes d'Information (SSI) sont des exigences qui s’appliquent aux ENS (fournisseurs de services numériques en santé, éditeurs/fabricants de solutions). 

Elles  constituent des prérequis aux grands programmes mis en œuvre par la puissance publique (Ségur, téléconsultation, etc.). Elles sont essentielles pour protéger les données sensibles et garantir la confiance des usagers. Elles sont encadrées par des corpus documentaires tel que la PGSSI-S.

Ces exigences sont issues :

• De réglementations nationales et/ou européennes (RGPD, HDS, PGSSI-S, NIS 2, CRA, eIDAS, EEDS, Téléconsultation, etc.),

• Du constat d’un manque de maturité SSI sur certaines thématiques sensibles pouvant conduire à des incidents de sécurité (les retours d’expérience du CERT Santé sur les incidents traités mais aussi les retours terrain sont notamment précieux pour une démarche pragmatique).

Elaborées sur la base d’ateliers de travail avec les acteurs de l’écosystème (ANSSI, CNIL, Ministère, CNAM, ANS, ES, fédérations d’industriels, etc.), elles font l’objet de concertations avant leur publication.

Les exigences SSI peuvent se regrouper selon les grandes thématiques suivantes (liste non exhaustive) :

Le programme CaRE a pour objectif de renforcer la sécurité et la résilience des établissements de santé, ainsi que d’améliorer leur capacité à faire face à une cyberattaque. Co-piloté par la Délégation au numérique en santé (DNS) et l’Agence du Numérique en Santé (ANS), ce programme pluriannuel s’inscrit dans l’action 15 de l’axe 4 de la Feuille de route du numérique en santé 2023-2027.

Les deux premiers domaines ainsi qu’un appel à projets HospiConnect ont déjà été lancés.

Une large majorité des établissements éligibles au domaine 1 « Audits techniques – Annuaire technique & exposition sur internet » y ont candidaté. Les travaux menés dans le cadre de ce domaine ont résulté en une vaste amélioration de la sécurité de leurs annuaires et de leur exposition internet.  

Le deuxième domaine « Stratégie de continuité et de reprise d’activité » a été lancé en juillet 2025. Il vise à renforcer la résilience des établissements en s’appuyant sur la protection des sauvegardes de leurs données, l’élaboration et le test de leurs stratégies de continuité et de reprise d’activité.  

HospiConnect a pour ambition de permettre le déploiement en établissements de solutions et d'organisations permettant d'assurer une authentification fiable des professionnels de santé, conforme au Référentiel d'Identification Électronique de la PGSSI-S. Il a été lancé à travers un premier appel à projets mobilisant 15 lauréats. Fin 2025, HospiConnect a été généralisé à tous les établissements afin de sécuriser et simplifier l’authentification des professionnels, l’accès aux services socles (DMP, MSSanté) et la gestion des habilitations en articulation avec le programme HOP’EN 2.

Le secteur du médico-social est inclus dans le programme CaRE avec le lancement d’un appel à projets itératif visant à améliorer la sécurité de ces structures et de leur résilience tout en prenant en compte leur contexte spécifique et leurs différents niveaux de maturité.

Le troisième domaine du programme, dédié aux « Accès distants », sera lancé en 2026. Il a pour objectif la sécurisation des accès à distance du personnel des établissements ainsi que ceux des fournisseurs intervenant en télémaintenance.

D’autres domaines suivront, notamment le domaine Socle qui permettra aux établissements de maintenir le niveau acquis au travers des autres domaines et de poursuivre les efforts engagés.

• Instruction n° DNS/2024/54 du 2 juillet 2024 relative aux missions des centres régionaux de ressources cybersécurité (CRRC)
• Arrêté de financement du domaine 2