Publicité en cours de chargement...
Au commencement
Face à la transformation numérique rapide et l’exposition à de nouvelles cybermenaces, le parlement Européen et l’Union Européenne ont adopté en juillet 2016 la directive NIS : Network and Information Security. Transposée dans le droit français en 2018, la directive avait pour objectif d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'UE. Pour cela, les Opérateurs de Services Essentiels (OSE) disposent de 3 ans pour appliquer 23 règles de sécurité. Certains établissements de santé sont concernés par la Directive et la liste s’élargie en 2021 avec la nomination des 135 établissements supports de GHT en tant qu’OSE.
À découvrir → Un projet de loi pour renforcer la cybersécurité déposé au Sénat
La Directive NIS 1 suffisante ?
En 2023, le constat est le suivant : les cyberattaques sont de plus en plus perfectionnées et la menace évolue plus rapidement que le niveau de sécurité du secteur de la santé. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour apporter davantage de protection.
Elargir le périmètre d’application …
Des entités concernées
Avec NIS2, on ne parle plus d’Opérateurs de Services Essentiels. Structures privées ou publiques, sanitaire ou médicosocial, l’ensemble du secteur de la Santé sera désormais concerné par la nouvelle Directive. En santé, il y aura 2 types d’entités différentes : essentielles et importantes. Elles sont déterminées en fonction de leur chiffre d’affaires, leur bilan annuel et leur nombre d’employés :
La Directive NIS2 ne s’appliquera pas totalement de la même façon pour une entité essentielle et une entité importante.
A l’ensemble du SI
Avec NIS2, on ne parle plus non plus de Services Essentiels ou Systèmes d’Information Essentiels (SIE). Les mesures de sécurité ne sont plus restreintes aux SIE mais à l’ensemble des réseaux et systèmes d’information utilisés par les entités dans le cadre de leurs activités.
Comment se préparer ?
- Le cas du secteur Sanitaire
Même si la directive NIS 2 n’a pas encore été transposée dans le droit français, nous pouvons anticiper ses impacts et capitaliser sur le retour d’expérience de la mise en en œuvre de la directive NIS 1. Cette NIS 1 a pu être perçue comme un nouveau référentiel (de plus) à mettre en œuvre et mobilisant des ressources humaines et financières (souvent limitées) très importantes. Le principal enjeu était donc de réussir à impliquer les directions dans la démarche, afin d’obtenir des ressources adaptées, ainsi que les opérationnels, afin de mettre en œuvre les règles de la NIS 1.
Dans ce contexte, une approche ISO 27 001 (ou HDS) est une opportunité pour les organisations qui souhaite faire évoluer leur niveau de maturité tout en répondant aux exigences réglementaires auxquelles elles sont soumises. La mise en place d’un SMSI permet de structurer une démarche d’amélioration continue de la sécurité et notamment de :
- Recueillir le leadership de la Direction
- Diffuser une culture sécurité au sein des équipes
Ces deux facteurs sont essentiels pour obtenir les moyens nécessaires à la mise en œuvre des mesures de sécurité exigées de toutes parts (programmes nationaux, Directives NIS, ISO 27 001 et HDS, etc.).
La démarche de certification est d’autant plus intéressante que les mesures de sécurité de l’annexe A de l’ISO 27 001 couvrent la grande majorité des règles de sécurité de la directive NIS.
- Le cas du secteur Médico-social
La transition numérique du secteur médicosocial, dynamisée par le programme ESMS Numérique, est quant à elle assez récente. L’intégration de la sécurité dans les pratiques est un effort à maintenir sur le long terme et doit se faire de façon progressive. Pour initier cette démarche de sécurisation du SI et des pratiques, les établissements médicosociaux peuvent se baser sur le guide de l’ANS « La cybersécurité pour le social et le médico-social en 13 questions ». Ces 13 actions, définies comme prioritaires, sont issues de l’état de l’art cyber actuel. Il est donc fort probable que la directive NIS 2 reprendra tout ou partie de ces exigences de sécurité.
L’accompagnement WELIOM
Pour anticiper cette nouvelle réglementation, WELIOM vous accompagne dans vos démarches de sécurisation de votre système d’information. Contactez-nous pour en savoir plus sur nos accompagnements SSI : Certification ISO 27001 / HDS, Etat des lieux SSI (PGSSI-S, Directive NIS 1, Guide d’hygiène de l’ANSSI, Guide « la cybersécurité pour le social et le médico-social en 13 questions »), Analyse de risques SSI etc.
Sources :
ANSSI – Directive NIS 2 :
WEBINAIRE ANSSI -
Guide cyber ESMS :
Avez-vous apprécié ce contenu ?
A lire également.

CHU de Montpellier : « Pionnier de l’IA générative, notre hôpital traduit cette innovation dans toutes ses missions »
23 mai 2025 - 11:50,
Actualité
- Mathilde Debry, DSIHSantExpo 2025 – Paris. Le 22 mai, la directrice générale du CHU de Montpellier Anne Ferrer a détaillé dans une interview pourquoi et comment l’IA générative gagne progressivement toutes les strates de son établissement.

En direct de SantExpo. Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé
22 mai 2025 - 18:09,
Actualité
- Pauline Nicolas, DSIHPlateforme d’orchestration de services humains et digitaux pour les parcours de santé, Careside démontre sa capacité à répondre à un enjeu crucial pour les établissements de santé : la sécurisation des sorties d’hospitalisation. Autre point fort à relever dans cette agora, Careside s’inscrit dans la...

En direct de Santexpo DSN.Care, le nouveau collectif d’expert du numérique en santé
22 mai 2025 - 16:58,
Actualité
- Damien Dubois, DSIHLe 20 mai 2025, à l’occasion de Santexpo, sept consultants, experts du numérique en santé, ont annoncé la création de leur collectif dédié à la santé et au médico-social, au service des structures publiques et privées.

Les avantages de lier les rétrocessions au Dossier Pharmaceutique
22 mai 2025 - 10:30,
Communiqué
- Computer EngineeringEn développant un lien direct entre son logiciel Rétro et le Dossier Pharmaceutique du patient, l’éditeur Computer Engineering améliore la sécurisation de la dispensation des médicaments rétrocédés. Et les équipes hospitalières gagnent du temps…