En septembre 2025, les hôpitaux publics des Hauts-de-France ont subi une cyberattaque d’ampleur : intrusion dans les serveurs par usurpation de l’identité d’un professionnel de santé, données d’identité de patients dérobées, plusieurs régions touchées dont la Normandie. En octobre 2025, le centre hospitalier de Pontarlier (Doubs) a été paralysé par un ransomware CryptoLocker, contraignant le personnel à revenir au papier et au fax pendant des semaines. En février 2024, c’est l’hôpital d’Armentières dont les urgences avaient dû fermer, avec 18 Go de données publiées sur le dark web par le cybergang Blackout, touchant potentiellement 950 000 patients.
Ces incidents occupent les colonnes de la presse. L’ANSSI y consacre des rapports entiers (son rapport sectoriel de novembre 2024 révèle que 86 % des incidents signalés entre 2022 et 2023 dans le secteur santé concernaient des établissements de santé Santé France). Le programme CaRE mobilise des millions d’euros. Les ARS organisent des exercices de crise.
Mais il existe un angle mort considérable dans cette mobilisation : les Services de Prévention et de Santé au Travail (SPST).
Des millions de données de santé dans l’ombre
Les SPST, qu’ils soient interentreprises ou autonomes, traitent au quotidien les données de santé de millions de salariés français. Le Dossier Médical en Santé au Travail (DMST) contient des informations relevant de l’article 9 du RGPD : pathologies, résultats d’examens complémentaires, avis d’aptitude ou d’inaptitude, expositions professionnelles, addictions, données psychologiques issues des entretiens infirmiers. Ces données sont parmi les plus sensibles qui existent, au croisement de la sphère médicale et de la sphère professionnelle.
Un SPST interentreprises de taille moyenne suit entre 80 000 et 300 000 salariés. Les plus grands en suivent plus d’un million. Rapporté aux 230 SPST interentreprises couvrant le territoire, on parle d’un volume de données de santé comparable, voire supérieur, à celui de nombreux CHU.
Et pourtant, quand avez-vous lu le moindre article sur une cyberattaque visant un SPST ?
Un écosystème techniquement vulnérable
Contrairement aux établissements hospitaliers qui bénéficient depuis 2021 de la stratégie nationale de cybersécurité en santé et du programme CaRE, les SPST évoluent en dehors de ce périmètre de protection. Plusieurs facteurs structurels expliquent leur vulnérabilité.
Des systèmes d’information vieillissants. Les logiciels métiers des SPST (gestion des visites, DMST, convocations, fiches d’entreprise) reposent souvent sur des architectures anciennes. Cependant, il n’y a presque plus de SPST dont la solution DMST ne soit pas chez un hébergeur HDS. Le parallèle avec les hôpitaux est frappant : en 2022, plus de 60 % des hôpitaux français fonctionnaient encore avec des infrastructures non mises à jour depuis plusieurs années, certains utilisant encore Windows 7 Bpi France. La situation dans les SPST est un peu moins préoccupante.
Des budgets IT dérisoires. Un SPST interentreprises fonctionne avec les cotisations des entreprises adhérentes. La part consacrée à la sécurité des SI est structurellement faible. Il est courant de trouver un responsable informatique isolé pour un service de 200 collaborateurs, sans RSSI dédié, sans SOC, sans politique de sécurité formalisée. À titre de comparaison, seuls 22 % des hôpitaux français disposent d’une équipe interne dédiée à la cybersécurité Bpi France. Chez les SPST, ce chiffre est en augmentation mais reste faible, il faut cependant mettre en place les sensibilisations Cyber et RGPD.
Des échanges de données peu sécurisés. Les flux de données entre le SPST et ses interlocuteurs (entreprises adhérentes, laboratoires) transitent parfois par messagerie non chiffrée, clés USB, ou plateformes d’échange sans authentification forte. La télésanté au travail, encouragée depuis la loi du 2 août 2021, a amplifié cette surface d’exposition sans que les investissements de sécurité suivent.
Une gouvernance cyber en mutation. Là où un hôpital dispose (en théorie) d’un RSSI et d’un plan de continuité d’activité, la plupart des SPST n’ont rien de tout cela. La nomination d’un DPO est obligatoire, mais le DPO n’est pas un RSSI. La conformité RGPD ne couvre qu’une partie du spectre cybersécurité. On constate qu’avec la SPEC2217, une PGSSI doit être en place a partir du niveau 2. Elle sera donc présente, il faudra maintenant l’adopter et surtout sensibiliser les salariés collaborateurs.
Ce que dit le cadre réglementaire actuel
Le RGPD s’applique pleinement aux SPST avec un niveau d’exigence renforcé (données de santé, art. 9). La CNIL a publié en décembre 2023 un guide pratique SPST détaillant les obligations de sécurité : authentification des utilisateurs, gestion des habilitations, journalisation des opérations, sécurisation des postes de travail et des réseaux, procédures de sauvegarde et de continuité d’activité Val Solutions.
Le Code de la santé publique impose le recours à un hébergeur certifié HDS pour tout stockage externalisé de données de santé. La version 2 du référentiel HDS, publiée en mai 2024, a ajouté des exigences de souveraineté, notamment l’obligation de localisation au sein de l’Espace Économique Européen. Santé France
Mais au-delà du RGPD et de la certification HDS, la question cruciale est celle de la directive NIS 2 et du rôle de l’ANSSI.
Les SPST doivent-ils se signaler à l’ANSSI ? La réponse est nuancée, mais la tendance est claire
La directive NIS 2, adoptée par l’UE en décembre 2022, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité renforcées sous la supervision de l’ANSSI. Le secteur « Santé » figure parmi les secteurs hautement critiques, avec une catégorie clé : les prestataires de soins de santé.
La définition européenne est large. La directive 2011/24/UE définit un prestataire de soins de santé comme « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ». Un SPST qui réalise des examens médicaux, des vaccinations, de la surveillance médicale renforcée, et qui emploie des médecins du travail et des infirmiers, entre potentiellement dans cette définition.
Cependant, plusieurs éléments complexifient l’analyse.
Les seuils de taille. NIS 2 distingue entités essentielles (plus de 250 salariés ou CA supérieur à 50 M€) et entités importantes (entre 50 et 250 salariés ou CA supérieur à 10 M€). Comme l’a précisé la coordinatrice sectorielle santé de l’ANSSI, les prestataires de soins de santé privés ou publics de plus de 250 salariés seront d’office entités essentielles, et ceux entre 50 et 250 salariés seront entités importantes Biologiste365. De nombreux SPST interentreprises, qui emploient entre 100 et 500 collaborateurs, dépassent largement ces seuils.
La transposition française est encore en cours. Le projet de loi « Résilience » a été adopté par le Sénat en mars 2025 et examiné en commission spéciale à l’Assemblée nationale en septembre 2025, mais la promulgation finale et les décrets d’application sont attendus pour le premier semestre 2026. Copla
La notion de « prestataire de soins de santé » n’existe pas en tant que telle dans le Code de la santé publique français. Plusieurs juristes s’interrogent sur ce que recouvre cette notion, qui n’est pas reprise dans le droit national et peut donner lieu à interprétation. DSIH Aucune communication officielle de l’ANSSI ne vise explicitement les SPST à ce jour.
En pratique, les SPST sont dans un trou noir réglementaire en matière de cybersécurité. Ils ne sont pas désignés OSE au titre de NIS 1. Ils ne font pas partie du programme CaRE. Ils ne sont pas suivis par le CERT Santé avec la même attention que les hôpitaux. Et la transposition de NIS 2 n’a pas encore tranché leur cas.
Synthèse sur l’obligation de signalement ANSSI : À la date de publication de cet article, les SPST n’ont pas d’obligation formelle de se signaler à l’ANSSI. Mais dès que la loi de transposition sera promulguée et les décrets publiés (probablement courant 2026), les SPST interentreprises de plus de 50 salariés ont une forte probabilité d’entrer dans le périmètre NIS 2. Ils devront alors s’enregistrer sur MonEspaceNIS2 (le portail de l’ANSSI), respecter les obligations de gouvernance, de gestion des risques et de notification d’incidents, sous peine de sanctions pouvant atteindre 2 % du CA mondial pour les entités essentielles et 1,4 % pour les entités importantes.
Pourquoi les SPST doivent agir maintenant, sans attendre NIS 2
Le RGPD impose déjà l’essentiel. L’article 32 exige des mesures techniques et organisationnelles « appropriées ». Pour un SPST traitant des centaines de milliers de DMST, cela implique un niveau de sécurité qui se rapproche de ce qu’exigera NIS 2. L’argument « nous ne sommes pas encore dans le périmètre » ne dispense de rien.
La responsabilité des dirigeants est engagée. NIS 2 introduira une responsabilité directe des organes de direction. Les présidents et directeurs de SPST ne pourront plus déléguer la question à un prestataire informatique sans s’impliquer personnellement.
Les cyberattaques n’attendent pas les décrets. L’ANSSI a observé que le secteur de la santé constitue une cible de choix pour divers acteurs de la menace opérant à des fins lucratives, de déstabilisation ou d’espionnage CERT-FR. Les SPST, avec leurs systèmes vieillissants et leurs protections faibles, représentent des cibles de choix pour les attaquants opportunistes.
Sept priorités pour les SPST dès maintenant
- Réaliser un état des lieux de la sécurité du SI. Cartographier les actifs informatiques, les flux de données, les interconnexions avec les tiers, identifier les vulnérabilités les plus critiques.
- Nommer un RSSI, même à temps partiel ou mutualisé, distinct du DPO. La complémentarité des deux fonctions est indispensable.
- Vérifier la conformité HDS. Tout stockage externalisé du DMST doit être chez un hébergeur certifié HDS. Les sauvegardes locales non chiffrées constituent une non-conformité majeure.
- Sécuriser les échanges de données. Abandonner les échanges par messagerie non chiffrée, mettre en place des plateformes sécurisées avec authentification forte.
- Élaborer un PCA et un PRA. En cas de ransomware, comment le SPST maintient-il la continuité des visites médicales, de la gestion des urgences, du suivi des salariés exposés ?
- Former et sensibiliser l’ensemble du personnel. Les médecins du travail, les infirmiers, les assistantes médicales, les préventeurs sont tous concernés. 70 % des cyberattaques réussies dans les hôpitaux sont dues à des erreurs humaines Bpi France.
- Se préparer au signalement des incidents. Formaliser une procédure incluant la notification CNIL (72h) et anticiper la notification ANSSI (24h) qui deviendra obligatoire.
Le paradoxe : gardien de la santé, orphelin de la cybersécurité
Les SPST savent quels salariés sont suivis pour une addiction, lesquels ont été déclarés inaptes, lesquels sont exposés à des agents cancérogènes, lesquels sont en souffrance psychologique. La compromission de ces données aurait des conséquences dévastatrices : discrimination, chantage, perte de confiance des salariés dans tout le dispositif de santé au travail.
L’ANSSI concentre ses efforts sur les hôpitaux. Le CERT Santé surveille les établissements de soins. Le programme CaRE finance le renforcement des systèmes hospitaliers. Les SPST, eux, sont livrés à eux-mêmes.
La prochaine cyberattaque majeure dans le secteur santé ne visera peut-être pas un CHU. Elle visera peut-être un SPST interentreprises qui gère les dossiers médicaux de 200 000 salariés, avec un serveur mal patché, une sauvegarde obsolète et un pare-feu configuré il y a dix ans.
Et ce jour-là, personne ne pourra dire qu’on ne l’avait pas vu venir.
