Partenariats : comment la cyber-résilience devient un critère de sélection stratégique

En tant qu’expert évaluateur Bpifrance, je constate en due diligence que de nombreuses startups MedTech présentent des vulnérabilités structurelles qui affectent directement leur valorisation et exposent les établissements partenaires à des risques juridiques, financiers et opérationnels. Dans ce contexte, la cyber-résilience n’est plus un simple prérequis technique : elle tend à devenir un critère de sélection stratégique, au même titre que la validation clinique ou le ROI économique.

Une surface d'attaque en expansion : 749 incidents, 230 ruptures de continuité

L’année 2024 confirme une tendance lourde : le secteur de la santé français fait face à une intensification de la menace cyber. L’Observatoire piloté par l’ANS et le CERT Santé recense 749 incidents déclarés, contre 581 en 2023, soit une progression de 29 %. 
Au-delà du volume, c’est la diversité des impacts qui interpelle : 230 incidents ont entraîné un mode dégradé ou une interruption de prise en charge des patients, avec des effets allant de perturbations temporaires à des situations plus critiques. Dans 59 cas, une mise en danger potentielle a été identifiée. Les données compromises concernent dans 55 % des cas des données de santé à caractère personnel, exposant les établissements à des sanctions CNIL et à une perte de confiance durable des patients. 
Cette menace s’inscrit dans une dynamique structurelle. Le secteur de la santé représentait environ 3 % des incidents traités par l’ANSSI en 2020, contre plus de 10 % en 2023. En trois ans, la part des attaques a donc plus que triplé, confirmant le ciblage croissant des infrastructures de santé par des groupes cybercriminels désormais professionnalisés. 
Le contexte national illustre cette évolution. France Travail a subi trois cyberattaques majeures en 18 mois, exploitant notamment la compromission de comptes légitimes via des outils de type infostealers. Ces attaques démontrent les limites des défenses périmétriques traditionnelles et soulignent la vulnérabilité des écosystèmes interconnectés, dans lesquels la sécurité dépend autant des fournisseurs que des organisations utilisatrices.

Retours terrain Bpifrance : 3 angles morts récurrents en due diligence

En tant qu’expert évaluateur pour Bpifrance, j’audite régulièrement des dossiers MedTech en phase de levée de fonds, selon une grille de lecture orientée risques, valorisation et soutenabilité à moyen terme. Trois angles morts apparaissent de manière récurrente, avec un impact direct sur la viabilité financière, réglementaire et opérationnelle des projets.

Premier angle mort : la conformité réglementaire illusoire 
Cocher la case RGPD ou obtenir une certification HDS ne garantit pas, à elle seule, la résilience opérationnelle. Un cas fréquent : une startup certifiée HDS via un hébergeur conforme, mais dont des bibliothèques open source critiques ne sont pas patchées depuis plus de 18 mois, exposant l’infrastructure à des vulnérabilités CVE publiquement documentées. 
Le guide MDCG 2019-16 rev. 1 impose pourtant une intégration de la cybersécurité dans la gestion des risques dès la conception des dispositifs médicaux. Analyse des menaces, mesures de mitigation, surveillance post-commercialisation et gestion continue des vulnérabilités doivent structurer l’architecture dès les premières phases de développement. Trop souvent, ces exigences sont traitées comme une formalité administrative tardive, créant une illusion de conformité et un faux sentiment de transfert de risque vers l’hébergeur.

Deuxième angle mort : la dette technique invisible 
De nombreux POC validés cliniquement reposent sur des architectures cloud présentant des dépendances non documentées ou non souveraines : hébergement sur des infrastructures hors UE, services managés sans traçabilité contractuelle claire, intégration d’API tierces à la politique de gestion des vulnérabilités opaque. 
Si ces choix peuvent s’expliquer en phase d’amorçage par des contraintes de temps et de ressources, ils deviennent rapidement problématiques lors des phases de scaling ou de contractualisation avec des établissements soumis à des exigences renforcées. 
En due diligence, ces configurations deviennent des red flags pour des investisseurs de plus en plus sensibilisés aux exigences RGPD, NIS2 et EHDS. Les conséquences sont immédiates : retards de levée pouvant atteindre six mois pour établir une roadmap de conformité crédible, décotes de valorisation de 10 à 30 %, ou durcissement des conditions contractuelles. 

Troisième angle mort : le sous-investissement cyber dans les budgets R&D 
Avant leur première levée de série A, de nombreuses startups allouent moins de 5 % de leur budget R&D à la cybersécurité, concentrant leurs efforts sur les algorithmes et la validation clinique. 
Sur le terrain, cela se traduit par l’absence de plan de réponse à incident testé, l’inexistence d’un RSSI ou référent sécurité explicitement identifié, et une journalisation insuffisante pour permettre un audit CNIL ou ANSSI. Ces fragilités deviennent critiques lors de l’interconnexion avec des SI hospitaliers complexes, dont la maturité cyber reste par ailleurs très hétérogène. 

Impact financier et réglementaire : de la conformité subie au passif stratégique

La cybersécurité n’est plus une fonction support. Elle constitue désormais un actif immatériel valorisable lors des levées de fonds et des partenariats hospitaliers, à condition d’être pensée comme une trajectoire maîtrisée plutôt que comme un état binaire.
Sanctions CNIL et coûts de remédiation
En 2024, la CNIL a prononcé 84 sanctions pour un montant cumulé d’environ 55,2 millions d’euros. Le secteur de la santé a été particulièrement concerné, comme l’illustre la sanction de 800 000 € infligée à Cegedim Santé pour insuffisances dans l’encadrement de ses traitements et sous-traitants.
Pour un établissement de santé, le coût d’un incident majeur dépasse largement le périmètre informatique. Il inclut les coûts d’investigation, de restauration, d’exploitation dégradée et de contentieux. Ces coûts, rarement anticipés dans les business plans des partenaires MedTech, peuvent atteindre plusieurs centaines de milliers d’euros en direct, et plusieurs millions d’euros en coûts indirects sur plusieurs années.
Le programme CaRE mobilise 750 millions d’euros sur cinq ans pour renforcer la résilience des établissements, mais cette enveloppe ne dispense pas les fournisseurs de leur responsabilité contractuelle et opérationnelle.

Convergence des deadlines réglementaires 2025-2027
Trois textes majeurs exercent une pression convergente, bien que leurs calendriers opérationnels, doctrines de contrôle et modalités d’application restent encore partiellement évolutifs :

● AI Act : pression directe sur les fournisseurs d’IA, avec des exigences renforcées en matière de gestion des risques, de traçabilité et de cybersécurité, et une échéance clé fixée à août 2026.

● NIS2 : pression organisationnelle sur les établissements, qui devront démontrer une gouvernance cyber renforcée et une maîtrise de leur chaîne de sous-traitance.

● EHDS : pression systémique sur l’écosystème, imposant une interopérabilité sécurisée et une gestion rigoureuse des flux de données transfrontaliers.

À cela s’ajoute le dispositif PECAN, qui conditionne le remboursement des solutions numériques à des exigences strictes de sécurité et de conformité.

Cinq axes d'évaluation cyber pour directions hospitalières

Face à ces enjeux, les établissements doivent se doter d’une grille d’évaluation structurée, non comme un simple outil de conformité, mais comme un instrument d’aide à la décision, permettant d’apprécier le niveau de risque et la capacité de progression des partenaires.

 1. Cartographie de l’architecture et des dépendances

 2. Conformité opérationnelle au-delà des certifications déclaratives

 3.  Gouvernance de la sécurité et capacité de réponse à incident

 4.  Clauses contractuelles structurantes inspirées des modèles Resah

 5.  Réversibilité et portabilité des données

Refuser un partenaire incapable de démontrer sa résilience cyber ou l’existence d’une trajectoire crédible de sécurisation devient, dans certains cas, un acte de cybersécurité à part entière.

De la conformité technique à la résilience organisationnelle partagée

La cyber-résilience dépasse désormais le périmètre DSI/RSSI pour devenir un critère de décision stratégique partagé entre directions générales, financières, médicales et techniques. Les incidents de 2024, les ruptures de continuité et la montée des sanctions CNIL le démontrent réellement : innover sans sécuriser, c’est bâtir sur du sable.
Les référentiels existent, les financements sont mobilisés, mais leur traduction opérationnelle reste hétérogène. Dans un contexte où les exigences réglementaires s’accélèrent et où août 2026 approche, la cyber-résilience deviendra un critère d’élimination, non plus une simple préférence.
C’est à cette condition que le scaling des MedTech européennes pourra rester autant souverain, durable que compatible avec les exigences du système de santé. 

Sources et références
¹ CERT Santé / ANS - Observatoire 2024 : Agence du Numérique en Santé (ANS), Observatoire des signalements d'incidents de sécurité des systèmes d'information pour le secteur santé - Bilan 2024, janvier 2025.
https://esante.gouv.fr/espace-presse/cybersecurite-dans-le-secteur-de-la-sante-un-ecosysteme-plus-resilient-des-signaux-encourageants-pour-2024 
² ANSSI - Panorama cybermenace 2024 : Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), Panorama de la cybermenace 2024, novembre 2024.
https://cert.ssi.gouv.fr
³ CNIL - Sanction Cegedim Santé : Commission Nationale de l'Informatique et des Libertés (CNIL), Données de santé : sanction de 800 000 euros à l'encontre de la société Cegedim Santé, délibération SAN-2024-XXX, 2024.
https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante
4 France Travail - Cyberattaque mars 2024 : Commission Nationale de l'Informatique et des Libertés (CNIL), France Travail : la CNIL enquête sur la fuite de données et donne des conseils pour se protéger, communiqué de presse, mars 2024.
https://www.cnil.fr/fr/france-travail-la-cnil-enquete-sur-la-fuite-de-donnees
5 MDCG 2019-16 (Cybersécurité dispositifs médicaux) : Medical Device Coordination Group (MDCG), MDCG 2019-16 rev.1 - Guidance on Cybersecurity for Medical Devices, décembre 2019.
https://health.ec.europa.eu/medical-devices-sector/guidance-documents_en
6 AI Act - Règlement UE 2024/1689 : Parlement Européen et Conseil de l'Union Européenne, Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act), Journal officiel de l'Union européenne, juin 2024.
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689
7 ANS - Certification HDS (Hébergement Données de Santé) : Agence du Numérique en Santé (ANS), Certification HDS - Référentiel version 2, mai 2024.
https://esante.gouv.fr/produits-services/hds
8 CNIL - Bilan sanctions 2024 : Village Justice, Sanctions des professionnels de santé par la CNIL en 2024 : état des lieux et enseignements, analyse juridique Jessy Pollux, décembre 2024.
https://www.village-justice.com/articles/sanctions-des-professionnels-sante-par-cnil-2024
9 ANS - Programme CaRE : Agence du Numérique en Santé (ANS), Programme CaRE - Cybersécurité, accélération et Résilience des Établissements, 2024.
https://esante.gouv.fr/produits-services/care
10 Resah - Clauses contractuelles innovation : Resah (Groupement de coopération sanitaire), Centre de l'innovation par les achats - Modèles contractuels pour partenariats MedTech, 2024.
https://resah.fr/innovation