Le 8 février 2021, à 22h30, le système informatique de l’hôpital de Dax s’effondre. Le ransomware chiffre tout : dossiers patients, messagerie, téléphonie, serveurs de fichiers. En quelques heures, un hôpital de 640 lits et 2 200 agents revient trente ans en arrière. Les chirurgies programmées sont annulées. Les prescriptions repassent au papier. Le retour à une informatique fonctionnelle prendra plusieurs mois.
Le vecteur d’entrée : un email de phishing. Un seul clic d’un agent hospitalier. C’est le scénario type.
Pour les établissements de santé et les hébergeurs de données de santé, la question de la sensibilisation du personnel n’est plus facultative. Le cadre HDS, le PGSSI-S et, depuis 2024, la directive NIS2 la rendent obligatoire et auditable. Cette page explique ce que ces cadres exigent concrètement, et comment nophi.sh aide les acteurs de la santé à s’y conformer.
Le secteur santé face au phishing
Les chiffres de l’ANSSI sont sans ambiguïté : le secteur de la santé est le plus ciblé par les rançonneurs en France, et le phishing en est le premier vecteur d’entrée dans environ 60 % des incidents documentés. La chronologie des attaques le prouve année après année.
CHU de Rouen — novembre 2019. Le ransomware Clop, introduit via un email de phishing contenant un malware Emotet, chiffre 6 000 postes de travail. Coût total estimé : plus de 10 millions d’euros. C’est l’incident fondateur : le premier à faire prendre conscience à l’État que les hôpitaux sont devenus des cibles délibérées.
Centre hospitalier de Dax — février 2021. Système informatique intégralement paralysé. Chirurgies reportées, transferts de patients, personnel soignant réduit aux prescriptions manuscrites. La reconstruction a duré plusieurs mois. Coût estimé à plus de 2 millions d’euros, reconstruction technique seule.
CHSF Corbeil-Essonnes — août 2022. LockBit 3.0 exige 10 millions de dollars. L’hôpital refuse. LockBit publie 11 gigaoctets de données patients sur le dark web : comptes-rendus médicaux, analyses de laboratoire, numéros de sécurité sociale. Coût de reconstruction du système d’information : 7 millions d’euros.
CH André-Mignot de Versailles — décembre 2022. Un ransomware force l’évacuation de six patients des soins intensifs et de néonatalogie. L’enquête révèle que le vecteur d’entrée était des identifiants compromis par phishing ciblant un administrateur système.
CHU de Rennes — juin 2023. Intrusion détectée rapidement, propagation limitée grâce à la réactivité de l’équipe sécurité. Malgré la détection précoce, des données ont été exfiltrées avant confinement. L’ANSSI est intervenue en appui.
Ces cinq incidents ne représentent qu’une fraction du tableau d’ensemble. Le CERT Santé — rattaché à l’Agence du Numérique en Santé — a traité 581 déclarations d’incidents dans les établissements de santé français en 2023 seul, selon son bilan annuel. Parmi eux, 50 % étaient liés à des compromissions de systèmes d’information. L’ANSSI signale dans son Panorama de la cybermenace 2023 que la santé reste l’un des secteurs les plus touchés sur le territoire français.
Pourquoi le phishing fonctionne-t-il aussi bien en milieu hospitalier ? Le personnel soignant reçoit des dizaines d’emails par jour contenant des pièces jointes légitimes : résultats d’analyses, comptes-rendus, factures fournisseurs. Un email de phishing imitant un résultat de laboratoire ou une notification de plateforme médicale s’insère parfaitement dans ce flux quotidien. Ajoutez la fatigue des gardes de 12 heures et l’absence quasi généralisée de formation structurée au phishing, et vous avez les conditions idéales pour que l’attaque réussisse.
Le secteur de la santé affiche un taux de clic initial de 34,2 % sur les simulations de phishing pour les organisations de plus de 1 000 employés (rapport KnowBe4 Phishing by Industry 2024). Après 12 mois de programme structuré, ce taux descend à 4,6 %. L’écart entre ces deux chiffres, c’est la valeur de la formation.
Ce que HDS et le PGSSI-S exigent
La certification HDS : ISO 27001 appliquée aux données de santé
La certification HDS, délivrée par des organismes accrédités par le COFRAC, est obligatoire pour tout hébergeur de données de santé à caractère personnel. Elle couvre deux périmètres distincts : l’hébergement d’infrastructure physique et l’hébergement infogéré (logiciels et applications).
Le socle de la certification HDS est la norme ISO/IEC 27001, complétée par des exigences spécifiques aux données de santé issues du référentiel HDS publié par l’ANS. Or la norme ISO 27001 — dans son Annexe A, contrôle 6.3 — impose explicitement la sensibilisation et la formation du personnel en matière de sécurité de l’information.
Concrètement, lors d’un audit de certification ou de renouvellement HDS, l’auditeur vérifie :
- L’existence d’un programme de sensibilisation formalisé (politique documentée, plan annuel de campagnes)
- Les preuves de mise en œuvre : rapports de simulations, taux de participation, résultats des formations
- La traçabilité individuelle : qui a été formé, quand, sur quels contenus
- Le plan d’amélioration continue : comment les résultats sont-ils exploités pour corriger les lacunes ?
Un hébergeur certifié HDS qui ne peut pas produire ces preuves s’expose au non-renouvellement de sa certification. La certification est valable 3 ans, avec un audit de surveillance à 18 mois. Autrement dit, la fenêtre entre deux contrôles est courte.
Le PGSSI-S : le référentiel de l’Agence du Numérique en Santé
La Politique Générale de Sécurité des Systèmes d’Information de Santé, publiée par l’ANS (anciennement ASIP Santé), est le corpus de référence pour la sécurité numérique dans le secteur de la santé français. Elle comprend une vingtaine de référentiels thématiques couvrant l’authentification des professionnels (Pro Santé Connect), la messagerie sécurisée de santé (MSSanté), la gestion des habilitations et la sécurité des échanges.
Le guide PGSSI-S sur la sécurité des utilisateurs stipule que les établissements de santé doivent mettre en place des actions de sensibilisation régulières adaptées aux profils des utilisateurs, en distinguant les personnels techniques et les personnels non techniques. Le guide insiste sur la nécessité de scénarios de formation contextualisés aux menaces réelles, pas de formations génériques déconnectées du quotidien de terrain.
Les Agences Régionales de Santé (ARS) se réfèrent au PGSSI-S lors de leurs inspections. Le programme CaRE (Cybersécurité accélération et Résilience des Établissements), doté de 750 millions d’euros sur 2023-2028, utilise les référentiels PGSSI-S comme base de ses objectifs de mise en conformité pour les 135 établissements classés Opérateurs de Services Essentiels.
NIS2 et le secteur santé
La directive européenne NIS2, transposée en droit français avec application effective depuis octobre 2024, place les établissements de santé dans l’Annexe I — celle des entités essentielles. Ce classement n’est pas anodin : il entraîne des obligations renforcées par rapport aux entités importantes de l’Annexe II.
Pour les entités essentielles du secteur santé, NIS2 impose notamment :
- Des mesures de gestion des risques cyber documentées et révisées régulièrement
- La sensibilisation et la formation du personnel, mentionnée explicitement à l’article 21 de la directive
- La notification des incidents significatifs à l’ANSSI dans les 24 heures (rapport initial) et 72 heures (rapport complet)
- Des audits de conformité, avec sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires
Pour les acteurs de la santé déjà soumis à HDS, la double obligation HDS + NIS2 peut paraître redondante. En pratique, les exigences sont convergentes : les deux cadres demandent un programme de sensibilisation documenté avec preuves d’amélioration continue. Un programme structuré répond aux deux en même temps, sans duplication des efforts.
Les établissements couverts par NIS2 incluent non seulement les hôpitaux et cliniques, mais aussi les laboratoires d’analyses médicales, les fabricants de dispositifs médicaux et les éditeurs de logiciels de santé dépassant certains seuils de taille. L’Agence du Numérique en Santé publie des guides d’interprétation spécifiques au secteur pour aider les organisations à déterminer si elles entrent dans le périmètre.
Pour le détail des obligations NIS2 et leur mise en œuvre pratique, consultez notre page conformité NIS2.
Les scénarios de phishing qui ciblent la santé
Les campagnes de phishing visant les acteurs de la santé ne ressemblent pas aux spams génériques. Elles s’appuient sur le contexte métier pour paraître légitimes. Voici les vecteurs les plus documentés par le CERT Santé et l’ANSSI.
Fausses notifications DMP
Le Dossier Médical Partagé (DMP), accessible via Mon Espace Santé, génère des notifications email régulières pour informer les professionnels de santé qu’un nouveau document est disponible. Les attaquants reproduisent ces notifications à l’identique : même design, même ton, même formulation. Le lien renvoie vers une page de connexion factice qui récolte les identifiants Pro Santé Connect. Un professionnel de santé piégé donne accès à l’ensemble des dossiers patients auxquels il a accès.
Faux emails des ARS
Les Agences Régionales de Santé communiquent régulièrement avec les établissements : circulaires, demandes de données épidémiologiques, notifications réglementaires. Des campagnes de spear phishing imitent ces communications pour cibler les directeurs d’établissement ou les responsables qualité. Un email semblant venir de l’ARS demandant de « télécharger le nouveau référentiel de conformité » peut déclencher l’installation d’un malware ou le vol d’identifiants de messagerie.
Compromission des comptes fournisseurs de matériel médical
Les distributeurs de matériel médical, les fournisseurs de consommables, les éditeurs de logiciels de gestion de cabinet : ils envoient régulièrement des factures et des bons de livraison par email. Deux types d’attaques exploitent ce canal. La première est le BEC (Business Email Compromise) : usurpation de l’identité du fournisseur pour demander un changement de RIB. La seconde est plus grave : la compromission réelle du compte email du fournisseur pour envoyer des factures piégées depuis une adresse légitime, indétectable par les filtres anti-phishing.
Faux portails d’assurance maladie et de complémentaires
Des emails imitant Ameli Pro, les portails des mutuelles ou les plateformes de tiers payant créent une fausse urgence : « Votre accès sera suspendu », « Un remboursement est en attente de validation ». Ces emails ciblent indistinctement le personnel administratif des établissements et les professionnels de santé libéraux. Les identifiants récoltés servent à commettre des fraudes à l’assurance ou à accéder à des bases de données de patients.
Quishing en environnement hospitalier
Le quishing — phishing par QR code — est particulièrement adapté aux environnements hospitaliers où les affiches et les documents papier circulent librement. Des QR codes malveillants placés sur des documents imprimés (faux protocoles de mise à jour de logiciel, faux avis de déploiement du DMP sur mobile, faux formulaires de renouvellement de badge) redirigent vers des pages de phishing. Le personnel soignant qui scanne un QR code avec son smartphone personnel n’a généralement pas de protection anti-phishing sur cet appareil.
Ce vecteur est documenté depuis 2023 dans les rapports du CERT Santé et confirmé par l’ANSSI dans ses alertes sur les nouvelles formes de phishing.
Comment nophi.sh aide les établissements de santé
Les scénarios génériques de simulation de phishing — faux colis Chronopost, fausse loterie — ne fonctionnent pas en milieu hospitalier. Le personnel soignant les reconnaît immédiatement comme hors sujet et n’en tire aucun enseignement. Pour que la sensibilisation soit efficace, les simulations doivent reproduire les attaques qui circulent réellement dans le secteur.
Des scénarios construits autour du quotidien médical
La bibliothèque de simulation de phishing de nophi.sh inclut des scénarios spécifiques au secteur santé : fausses notifications DMP, faux emails ARS, faux portails Ameli Pro, faux avis de mise à jour de logiciel de cabinet médical, fausses factures fournisseur avec changement de RIB. Chaque scénario est conçu pour reproduire les signaux visuels et textuels des vraies attaques — pas pour tromper à tout prix, mais pour entraîner le réflexe de vérification.
Une formation adaptée au personnel non technique
Le défi du secteur santé, c’est la diversité des profils. Un CHU de 5 000 agents emploie des médecins, des infirmières, des aides-soignants, des secrétaires médicales, des techniciens de laboratoire, du personnel de maintenance et des agents d’accueil. Tous utilisent l’email. Tous peuvent être une porte d’entrée pour un attaquant. Mais tous n’ont pas le même rapport à l’outil informatique.
Les modules de micro-formation de nophi.sh sont calibrés pour le personnel non technique : 3 à 5 minutes, sans jargon cybersécurité, contextualisés au scénario de l’attaque simulée. Un agent d’accueil piégé par un faux email de renouvellement de badge reçoit une formation qui explique précisément pourquoi cet email était suspect, avec des images annotées. Pas une conférence générale sur « l’hameçonnage ».
La formation est déclenchée au moment du clic — le seul moment où l’apprentissage est vraiment ancré. Un module diffusé six semaines après l’erreur n’a aucune valeur pédagogique.
Un format compatible avec les contraintes du travail en équipes
Les équipes hospitalières travaillent en 3x8, en gardes de 12 heures, avec des plannings qui tournent. Il n’existe pas de créneau « tous disponibles en même temps » dans un hôpital. Les formations de 45 minutes en présentiel sont impraticables pour 80 % du personnel soignant.
nophi.sh fonctionne en autonomie : les simulations arrivent dans la boîte mail de chaque agent selon un planning configurable, les modules de formation se suivent sur mobile ou sur poste fixe, en 3 à 5 minutes, n’importe quand dans le service. Le RSSI ou le référent cybersécurité configure une fois le programme annuel et suit l’avancement depuis son tableau de bord. Il n’a pas besoin d’organiser des sessions ni de relancer manuellement les retardataires.
Des rapports de conformité PGSSI-S exportables
Lors d’une inspection ARS ou d’un audit HDS, la question de la sensibilisation arrive systématiquement. « Pouvez-vous me montrer votre programme de formation ? Quels sont vos taux de participation ? Comment évoluent vos indicateurs sur les 12 derniers mois ? »
nophi.sh génère ces rapports automatiquement. Chaque campagne de simulation produit : taux de clic par service, taux de formation complétée, évolution des indicateurs dans le temps, répartition par type de scénario. Un export PDF structuré, prêt pour l’auditeur, en un clic. Ces rapports constituent la preuve documentée d’amélioration continue que les référentiels HDS et PGSSI-S demandent.
Testez la configuration email de votre établissement avec le test de sécurité email — 30 secondes, sans installation, pour voir si votre domaine peut être usurpé dans une campagne de phishing.
Documentation de conformité
Ce que présenter lors d’un audit HDS
La certification HDS repose sur une logique de preuve documentaire. L’auditeur mandaté par l’organisme certificateur s’attend à trouver, pour la partie sensibilisation :
Le programme de sensibilisation formalisé. Un document qui décrit la politique de sensibilisation : fréquence des campagnes de simulation, types de scénarios couverts, population cible, responsable du programme, modalités de suivi. Ce document doit être approuvé par la direction et révisé annuellement.
Les preuves de mise en œuvre. Les rapports de campagnes : dates, taux de participation, taux de clic, taux de formation complétée. Ces données doivent couvrir les 12 mois précédant l’audit (pour un audit de surveillance) ou les 36 mois (pour un renouvellement).
La traçabilité individuelle. La capacité à répondre à la question : « Montrez-moi que tel employé a bien suivi la formation. » Les rapports nophi.sh sont exportables par agent, avec horodatage des actions.
L’analyse des résultats et le plan d’amélioration. L’auditeur ne cherche pas un taux de clic de 0 %. Il cherche à voir que l’organisation mesure, analyse et agit. Un taux de clic qui baisse de 32 % à 8 % sur 12 mois, avec une note interne expliquant les actions correctives menées sur les services les plus exposés, est une preuve de maturité bien plus convaincante qu’un score parfait.
Ce que présenter lors d’une inspection ARS
Les Agences Régionales de Santé instruisent les dossiers de financement du programme CaRE et réalisent des inspections de conformité cybersécurité dans les établissements. Pour la partie sensibilisation, les inspecteurs ARS se réfèrent aux objectifs CaRE et aux guides PGSSI-S.
Les points de contrôle typiques incluent : l’existence d’un référent cybersécurité identifié, la réalisation d’exercices de crise cyber annuels, et la mise en place d’un programme de sensibilisation couvrant l’ensemble du personnel. Un programme de simulation de phishing régulier avec des rapports traçables répond directement à ces trois points.
Pour les hébergeurs certifiés HDS : la question du périmètre
Si vous êtes un éditeur de logiciel SaaS de santé ou un hébergeur infogéré certifié HDS, la question de la sensibilisation concerne votre propre personnel — les équipes techniques qui accèdent aux données de santé de vos clients. Un accès compromis chez vous est un accès compromis à des données de santé hébergées pour le compte d’établissements de santé.
L’ANSSI a documenté plusieurs incidents où des prestataires de services de santé ont servi de porte d’entrée vers des données de patients. L’affaire Viamedis-Almerys (33 millions d’assurés compromis, février 2024) illustre ce risque à grande échelle. La certification HDS de votre infrastructure ne suffit pas si votre personnel technique est vulnérable au phishing.
Thomas Ferreira est consultant en cybersécurité certifié CISSP et GCFA. Il accompagne des organisations de santé dans la mise en conformité cybersécurité et la réponse à incident. Il a travaillé sur plusieurs crises de sécurité impliquant des données de santé, ce qui lui a permis de documenter les vecteurs d’attaque réels — phishing, spear phishing, compromission de fournisseurs — qui aboutissent aux incidents couverts dans cet article.
Sources : Agence du Numérique en Santé — PGSSI-S, ANS — Certification HDS, ANSSI — Panorama de la cybermenace 2023, CERT Santé (ANS) — bilan des incidents 2023, KnowBe4 Phishing by Industry Benchmarking Report 2024, IBM Cost of a Data Breach 2025. Incidents hospitaliers : France TV Info — CHU Rouen, Le Monde — hôpital de Dax, France TV Info — CHSF Corbeil-Essonnes, Le Parisien — CH Versailles.
Questions fréquentes
La certification HDS impose-t-elle explicitement des formations à la cybersécurité ?
Oui. La certification HDS repose sur la norme ISO 27001, qui exige dans son annexe A (contrôle 6.3) la sensibilisation et la formation de l'ensemble du personnel en matière de sécurité de l'information. L'organisme certificateur vérifie que cette exigence est documentée et mise en œuvre : programme de sensibilisation existant, preuves de formation, traçabilité. Un hébergeur certifié HDS qui ne peut pas produire ces preuves lors d'un audit de renouvellement s'expose au retrait de sa certification.
Qu'est-ce que le PGSSI-S et quelles obligations impose-t-il aux établissements de santé ?
La Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S), publiée par l'Agence du Numérique en Santé (ANS), est le référentiel de référence pour la sécurité des systèmes d'information de santé en France. Elle comprend plusieurs référentiels thématiques, dont un guide spécifique sur la gestion des identités et des habilitations, la sécurité des messageries professionnelles, et la sensibilisation des utilisateurs. Elle n'est pas une réglementation à proprement parler, mais les ARS s'y réfèrent lors de leurs inspections et le programme CaRE l'utilise comme base de ses objectifs de mise en conformité.
Quels établissements de santé sont concernés par HDS ?
La certification HDS s'applique aux hébergeurs de données de santé à caractère personnel, c'est-à-dire aux prestataires techniques (éditeurs de logiciels SaaS de santé, opérateurs cloud, prestataires d'infogérance) qui hébergent des données de santé pour le compte d'établissements ou de professionnels de santé. Les établissements qui hébergent eux-mêmes leurs données en interne ne sont pas soumis à la certification HDS, mais restent soumis au RGPD, au PGSSI-S et, pour les plus grands, à la directive NIS2. Pour le détail des périmètres, l'Agence du Numérique en Santé publie la liste des entités certifiées sur esante.gouv.fr.
Le phishing est-il vraiment le vecteur d'attaque principal contre les hôpitaux français ?
Oui, selon les données de l'ANSSI et du CERT Santé. Le phishing est impliqué dans environ 60 % des incidents de sécurité dans les établissements de santé français en tant que vecteur d'accès initial. Le schéma récurrent : un agent hospitalier clique sur un lien frauduleux, ses identifiants sont volés, l'attaquant se déplace latéralement dans le réseau et déploie un ransomware. Les attaques du CHU de Rouen (2019), de l'hôpital de Dax (2021), du CH de Versailles (2022) et du CHU de Rennes (2023) suivent toutes ce modèle.
Combien coûte une cyberattaque pour un établissement de santé ?
Les coûts documentés vont de 2 millions d'euros (hôpital de Dax, 2021, reconstruction technique seule) à plus de 10 millions d'euros (CHU de Rouen, 2019, coût total incluant perte d'activité). Le CHSF de Corbeil-Essonnes a chiffré la reconstruction de son système d'information à 7 millions d'euros après l'attaque LockBit d'août 2022. Ces montants n'incluent pas les sanctions CNIL potentielles, les coûts de notification des patients ni les surcoûts de transfert de patients vers d'autres établissements.
Quelles preuves présenter lors d'un audit HDS pour la partie sensibilisation ?
Lors d'un audit de certification ou de renouvellement HDS, l'auditeur s'attend à trouver : un programme de sensibilisation formalisé (politique documentée, calendrier de campagnes), des preuves de mise en œuvre (rapports de simulations de phishing, taux de participation aux formations, évolution des indicateurs), une traçabilité par employé (qui a été formé, quand, sur quels contenus), et un plan d'amélioration continue (que faites-vous suite aux résultats ?). nophi.sh génère automatiquement ces rapports en format exportable, prêts pour l'auditeur.
NIS2 et HDS se cumulent-ils pour les établissements de santé ?
Oui, pour de nombreux acteurs du secteur. Un hébergeur de données de santé certifié HDS qui dépasse les seuils NIS2 est soumis aux deux cadres simultanément. HDS (via ISO 27001) et NIS2 ont des exigences convergentes sur la sensibilisation : les deux imposent des programmes de formation documentés et des preuves d'amélioration continue. Un programme de sensibilisation bien structuré avec des rapports traçables répond aux deux obligations en même temps, ce qui évite la duplication des efforts.