Cybersécurité Santé & Médical
Le secteur de la santé est la cible numéro un des cyberattaques en France. Les données de santé valent dix fois le prix d'une carte bancaire sur le dark web. Une violation peut mettre des vies en danger et ruiner la confiance des patients.
Pourquoi la cybersécurité santé est-elle un enjeu de direction ?
Sanctions CNIL jusqu'à 4 % du CA
Une violation de données de santé expose l'établissement à des amendes massives. La CNIL a infligé plusieurs millions d'euros d'amendes à des hôpitaux et cliniques ces dernières années. Au-delà de l'amende, c'est la réputation de l'établissement qui est durablement touchée - les patients choisissent leurs soins, y compris en fonction de la confiance qu'ils accordent à la gestion de leurs données.
Conformité HDS obligatoire
L'hébergement de données de santé est soumis à la certification HDS depuis 2018. Tout prestataire ou établissement qui stocke, traite ou héberge des données de santé à caractère personnel doit être certifié. Un manquement expose à des poursuites pénales et à la suspension des activités. Les audits réguliers sont devenus incontournables pour maintenir cette certification.
Confiance patient en jeu
La relation médecin-patient repose sur une confiance absolue. Quand un patient apprend que son dossier médical - diagnostics, traitements, antécédents - a été exposé, cette confiance est brisée. Les établissements touchés perdent des patients, font face à des actions en justice et voient leur image ternie pendant des années. Une cyberattaque bien médiatisée peut réduire à néant des décennies de réputation.
Investigation en conditions réelles
[Hacksessible Agent]
Un patient peut-il accéder aux dossiers d'un autre patient ?
IDOR sur dossiers patients - accès croisé confirmé via manipulation du patient_id.
Escalade de privilèges patient vers médecin via champ role modifiable dans le JWT.
Données de santé transitant en clair sur le VLAN interne.
Analyse technique - Pour les équipes RSSI
Les systèmes d'information de santé (SIS) cumulent plusieurs facteurs de risque structurels : une dette technique importante, des logiciels métier anciens non maintenus, une surface d'attaque étendue (DMP, messagerie sécurisée de santé, dispositifs médicaux connectés), et des exigences de disponibilité qui rendent les mises à jour difficiles.
Vecteurs d'attaque prioritaires
BOLA/IDOR sur les identifiants patients (numéros de dossier séquentiels)
Broken Authentication sur les portails de messagerie sécurisée
API FHIR/HL7 exposées sans authentification sur le réseau interne
Interfaces DICOM (port 104) accessibles sans contrôle d'accès
Sessions longue durée sans timeout sur les postes partagés
Ce que Hacksessible teste
Isolation des dossiers patients (accès croisé entre comptes)
Contrôle d'accès basé sur les rôles (RBAC) sur toutes les actions
Chiffrement des données en transit et au repos
Gestion des sessions et expiration des tokens
Exposition des interfaces d'administration
Conformité réglementaire santé
HDS (Hébergement Données Santé)
Certification obligatoire pour tout hébergeur de données de santé. Les tests de sécurité réguliers sont exigés par les référentiels HDS et ANS.
RGPD & CNIL
Les données de santé sont des données "sensibles" au sens du RGPD (Art. 9). La CNIL exige des mesures de sécurité renforcées et des analyses d'impact (DPIA) systématiques.
Prise en charge Hacksessible
Chaque rapport inclut un mapping précis vers les exigences HDS, les articles RGPD applicables et les recommandations CNIL pour faciliter vos audits de conformité.
Testez sur votre propre périmètre
Découvrez en moins de 5 minutes si vos dossiers patients sont réellement protégés. Aucune installation requise, résultats immédiats.
Prendre rendez-vous