Voici un plan détaillé, étape par étape, pour sécuriser préventivement le système informatique d’un hôpital. Priorise la conformité (RGPD, HDS pour l’hébergement des données de santé, NIS2 qui s’applique aux établissements de santé, recommandations ANSSI, PGSSI-S) et la continuité des soins (les patients passent avant tout).

Phase 0 : Les 2-3 premiers jours (Onboarding & Compréhension du terrain)

1. Rencontres obligatoires :
- Directeur de l’hôpital / Directeur des systèmes d’information (DSI).
- Responsable des risques / DPO (Délégué à la Protection des Données).
- Responsable maintenance / biomédical (dispositifs médicaux connectés).
- Équipe IT existante et RSSI (si existant).

2. Demande immédiate :
- Organigramme IT et cybersécurité.
- Cartographie existante du SI (Actifs ,réseaux, serveurs, applications métier : DPI, PACS, RIS, Labo, etc.).
- Dernier audit de sécurité / PSSI (Politique de Sécurité du Système d’Information).
-Comptes utilisateurs -Active Directory -Réseau
- Liste des incidents des 24 derniers mois.
- Contrats avec les hébergeurs HDS et sous-traitants.

3. Visite physique : Demande d’accès à tous les locaux techniques (salle serveurs, baies réseaux, postes de soins, etc.).


Phase 1 : Évaluation et Cartographie (Semaines 1-4)

C’est la base. Vous ne pouvez rien sécuriser sans savoir ce que vous possédez.

1. Inventaire exhaustif des actifs (Asset Management) :
- Serveurs, postes de travail, imprimantes, Wi-Fi, IoT médicaux (pompes à perfusion, moniteurs, etc.).
- Identifier les systèmes d'exploitation utilisés (notamment les vieux Windows XP/7 encore présents dans les hôpitaux)

- Cartographier les logiciels métiers : DPI (Dossier Patient Informatisé), SIH (Système d'Information Hospitalier), PACS (imagerie médicale)
- Applications et bases de données (données patients sensibles).
- Flux de données (interne, externe : télémedecine, DMP, etc.).
- Messagerie

- Identifier les actifs critiques (données patients, systèmes de réanimation, pharmacie)
- Identification des données critiques : localisez le Dossier Patient Informatisé (DPI), les serveurs d'imagerie (PACS) et les applications de gestion de la pharmacie

- Lister les accès distants : VPN, télémaintenance des prestataires

- Cartographie réseau
- Établir un schéma réseau complet (LAN, WLAN, DMZ, VLAN)
- Identifier les flux critiques entre services
- Repérer les équipements obsolètes ou non patchés

2. Analyse de risques et Conformité (méthode EBIOS Risk Manager recommandée par l’ANSSI) :
- Identifier les menaces (ransomware très fréquent dans la santé, phishing, insider, supply chain, accès non autorisés).
- Évaluer impacts (vie humaine, confidentialité, disponibilité).


- Analyse de risques (EBIOS RM) : Évaluez les scénarios d'attaque les plus probables (Ransomware, vol de données de santé, déni de service bloquant les urgences).


- Cadrage Réglementaire (NIS 2 & RGPD) : Évaluez l'écart (Gap Analysis) entre l'état actuel de l'hôpital et les exigences de la directive NIS 2 (gestion des incidents, sécurité de la chaîne d'approvisionnement) ainsi que la certification HDS (Hébergeur de Données de Santé) si applicable.


- Audit des tiers (Supply Chain) : Listez les prestataires externes (maintenance des dispositifs médicaux, éditeurs de logiciels) ayant des accès distants au réseau de l'hôpital.

- Se référer aux guides de l'ANSSI et aux recommandations HDS (Hébergeur de Données de Santé)

3. Audit technique rapide (si possible avec un PASSI qualifié ANSSI) :
- Scan de vulnérabilités.
- Test d’intrusion (pentest) sur les parties critiques.
- Vérification des droits d’administration et segmentation réseau.

- Diagnostic express de la situation

        - État des lieux technique
             -Pare-feu : règles obsolètes ? UTM activé ?

             -Antivirus / EDR : déployé sur tous les postes ? (souvent oublié sur PC de soins)

             -Mises à jour : dernière campagne applicative + OS

             -Mots de passe : comptes génériques partagés (e.g. admin/admin sur échographe ?)

           -Accès distants : télémaintenance des fournisseurs (respirateurs, IRM) – c’est souvent la porte d’entrée des ransomwares.

        -Test non intrusif immédiat
             -Lancer un scan vulnérabilités passif (ex: Greenbone / OpenVAS sur une VM dédiée) hors production.

             -Vérifier si le port 445 (SMB) est exposé sur internet → flag critique.


        -Collecte des logs
        -Activer la remontée des logs vers un syslog/SIEM si existant. Sinon, noter l’absence.

4. Conformité réglementaire : Vérifier HDS, RGPD (registre des traitements), NIS2.






Phase 2 : Mise en place des fondamentaux (Mois 1-3)

Priorité absolue : Réduire la surface d’attaque rapidement.

1. Gestion des identités et accès (IAM) :
- Mise en place ou renforcement de l’authentification multifacteur (MFA) partout.
- Principe du moindre privilège + Zero Trust.
- Gestion centralisée des comptes (Active Directory ou équivalent).
- Instaurer une politique de mots de passe robustes (longueur, complexité, rotation)
- Nettoyage des comptes : Désactivez immédiatement les comptes des anciens employés, stagiaires ou internes ayant quitté l'établissement.
- Contrôle des accès privilégiés (PAM) :
-Interdire les comptes locaux admin sur les PC soignants.
-Utiliser Juste-à-temps pour les dépannages.


2. Segmentation réseau = Créer des VLAN
- Séparer les réseaux : administratif / médical / dispositifs médicaux / invités.
- Micro-segmentation si possible.
- Filtrage et Firewalls :
Resserrez les règles de vos pare-feu (Firewalls) externes et internes. Bloquez tous les ports non essentiels avec des règles strictes de filtrage
- Sécurisation des accès distants (VPN/ZTNA) : Imposez une authentification forte pour tous les accès distants des médecins et des prestataires de maintenance.
- Déployer un système IDS/IPS (détection/prévention d'intrusion)
- Sécuriser ou isoler les équipements médicaux connectés non patchables
- Désactiver tous les ports et services inutiles


3. Mises à jour et correctifs (Patch Management) :
- Politique stricte de patching (surtout Windows et équipements médicaux).
- Isolation des systèmes legacy impossibles à patcher.

4. Protection des endpoints et serveurs :
- EDR/XDR de qualité.
- Antivirus centralisé.
- Durcissement des systèmes (hardening) = Durcissement des configurations : Désactivez les protocoles obsolètes (comme SMBv1) et configurez des profils de sécurité stricts sur tous les postes.

5. Sauvegardes immuables :
- 3-2-1 (3 copies, 2 médias différents, 1 offline/immuable).
- Tests de restauration réguliers (très important contre ransomware).




Phase 3 : Contrôles avancés et Détection (Mois 3-6)

1. Supervision et SOC :
- Création d’un SOC de proximité si inexistant
- Mise en place d’un SIEM ou solution de détection.
- Logs centralisés.
- Alerting 24/7 (interne ou externe).

2. Chiffrement :
- Données au repos et en transit.
- Gestion des clés.

3. Sécurité des dispositifs médicaux :
- Inventaire spécifique.
- Isolement réseau.
- Contrats avec fabricants pour mises à jour de sécurité.

4. Filtrage et protection périmétrique :
- Firewall nouvelle génération, proxy, passerelle email sécurisée (anti-phishing).




Phase 4 : Culture, Procédures et Gouvernance (en parallèle)

1. PSSI et documentation :

- Rédiger / mettre à jour la Politique de Sécurité.
- Procédures incident response, continuité d’activité (PCA/PRA).

2. Sensibilisation du personnel (le maillon faible) :

- Formation obligatoire à l’arrivée + recyclage annuel.
- Simulations de phishing.
- Campagnes de sensibilisation régulières.

3. Gestion des fournisseurs :

- Clause cybersécurité dans tous les contrats.
- Audit des prestataires HDS et éditeurs de logiciels santé.

4. Plan de réponse aux incidents :

- Définition des rôles (qui contacte l’ANSSI, la CNIL, l’ARS ?).
- Exercices de simulation (tabletop exercises) tous les 6 mois.
- Rédiger un PSIR (Plan de Réponse aux Incidents)
- Définir les niveaux de criticité et les escalades
- Établir les contacts avec : ANSSI, CERT Santé, ANS, forces de l'ordre (C3N)
- Préparer une cellule de crise avec rôles définis

5. Plan de Continuité d'Activité (PCA) / Plan de Reprise (PRA) :

Collaborez avec la direction pour formaliser un "mode dégradé" (procédure papier) au cas où le système informatique serait totalement indisponible.

6.Aspects humains et réglementaires (à lancer J1)

- Désigner un référent biomédical pour valider toute action sur DM.
- Préparer un exercice de simulation (ransomware sur un serveur de test) avant fin semaine.
-Déclaration CNIL : vérifier que les traitements de santé sont sécurisés selon article 32 RGPD.




Phase 5 : Amélioration continue (Mois 6 et au-delà)

- Audits réguliers (interne + externe).
- Tests d’intrusion annuels.
- Red teaming si budget.
- Veille cyber (CERT-FR, ANSSI, EU-CyCLONe pour NIS2).
- KPIs : temps de détection, taux de patch, incidents résolus, etc.
- Budget cybersécurité : proposer un plan pluriannuel.




Phase 06 : Conformité & gouvernance (En parallèle)

6.1 Conformité réglementaire

-RGPD : protection des données personnelles de santé (DPS)
-Certification HDS : si hébergement de données de santé
-Référentiel PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé)
-Directives NIS 2 : l'hôpital est une entité essentielle, soumis à cette directive européenne
-Signalement obligatoire des incidents à l'ANS (Agence du Numérique en Santé) et à la CNIL

6.2 Documentation & politiques

-Rédiger ou mettre à jour la PSSI (Politique de Sécurité du SI)
-Créer des procédures opérationnelles de sécurité
-Documenter tous les accès tiers et prestataires
-Mettre en place des contrats avec clauses sécurité (SLA, engagements RGPD)

Copyright © All rights reserved.