Cybersécurité · Santé · NIS2 · RGPD

Cybersécurité pour les organisations de santé.

Les organisations de santé sont des entités essentielles NIS2. Lorsqu'un incident bloque un service, trois horloges tournent ensemble : triage clinique, notification au CSIRT national et notification à l'autorité de protection des données. Fortgale gère les trois lignes en parallèle.

Demander une évaluation NIS2 santé 📞 +39 02 8969 2266
NIS2Entités essentielles
24h · 72h · 30jNotification CSIRT
72hNotification CNIL
Références réglementaires
Transposition NIS2
RGPD · art. 33-34
MDR · Règl. UE 2017/745
ENISA · CSIRT
Périmètre technique
IoMT · DICOM · HL7
PACS / RIS
Active Directory
Veeam · sauvegarde
Pourquoi Fortgale pour la santé

Trois contraintes spécifiques au secteur de la santé.

La santé n'est pas seulement un secteur avec des données personnelles : c'est un service essentiel qui ne peut pas s'arrêter, avec l'un des actifs informationnels les plus sensibles (données cliniques) sous RGPD art. 9, et des dispositifs qui restent en production 10-15 ans sans patches.

01 ·

Continuité clinique

Les soins ne s'arrêtent pas. Le MDR Fortgale est conçu pour confiner sans éteindre les systèmes cliniques critiques. Nous travaillons aux côtés des équipes IT de santé.

02 ·

Double notification CSIRT + CNIL

Lorsqu'une brèche touche des données cliniques, les deux obligations se déclenchent : CSIRT national (24h/72h/30j) et autorité de protection des données (72h). Fortgale prépare les deux notifications en parallèle.

03 ·

Dispositifs médicaux IoMT

PACS, RIS, moniteurs, pompes à perfusion ne se patchent pas comme des endpoints IT. Segmentation, monitoring passif OT-aware et contrôle d'accès des vendors avec jump hosts MFA.

Notification CSIRT · santé

Les trois délais NIS2 pour les organisations de santé.

Lorsqu'un incident frappe une organisation de santé qualifiée d'entité essentielle, trois obligations temporelles se déclenchent vers le CSIRT national, s'ajoutant à la notification RGPD à l'autorité de protection des données. Fortgale prépare la documentation technique pour toutes les notifications en parallèle.

24HEURES

Early warning CSIRT

Identification de l'organisation, description de l'incident, systèmes impliqués, mesures de confinement initiales. Portail CSIRT national.

Entités essentielles NIS2
72HEURES

Notification intermédiaire CSIRT

Évaluation initiale d'impact, IoCs collectés, mesures de confinement activées. Même délai pour la notification CNIL (RGPD art. 33).

Notification formelle CSIRT + CNIL
30JOURS

Rapport final CSIRT

Analyse de cause racine, vecteur d'attaque, impact définitif, mesures correctives, plan d'amélioration. Documentation défensive en cas de sanction.

Clôture formelle
Preuves · santé

Quatre chiffres sur le paysage européen de la santé.

12 %
Attaques ransomware
contre la santé UE 2024
94 %
Organisations européennes
entités essentielles NIS2
72 h
Notification CNIL
RGPD art. 33
24·7
SOC européen
pour la continuité clinique
Menaces sectorielles

Quatre vecteurs qui frappent les hôpitaux.

Ransomware

Chiffrement des dossiers cliniques

LockBit, BlackCat, Rhysida ont frappé des hôpitaux européens. Arrêt de services, déroutement d'ambulances, report d'interventions chirurgicales.

Fuite de données

Exfiltration de données cliniques

Double extorsion avec publication sur des sites de fuite de rapports, anamnèses, photographies cliniques. Sanction RGPD et grave atteinte à la réputation.

BEC · fraude

Fraude aux achats

Phishing sur les services comptables et achats. Virements détournés sur des fournitures pharmaceutiques et des dispositifs.

IoMT

Compromission de dispositifs médicaux

Vulnérabilités connues non patchées sur PACS, RIS, moniteurs. Pivot vers les réseaux cliniques depuis des brokers DICOM/HL7 exposés.

Services associés

Trois composants pour les organisations de santé.

SOC européen

MDR 24·7

SOC européen avec équipe senior. Détection mappée MITRE ATT&CK, confinement médian ~11 min.

Découvrir MDR →
Urgence

Incident Response

Lorsque l'incident est en cours, Fortgale gère technique, communication, notification et recovery en flux unique.

Découvrir →
Anticipation

Cyber Threat Intelligence

Feeds propriétaires sur les acteurs actifs contre la santé européenne : LockBit, BlackCat, Rhysida, BlackSuit.

Découvrir CTI →
FAQ · questions fréquentes

Tout savoir avant de parler avec nos analystes.

En cas de data breach, combien de temps les organisations de santé ont-elles pour notifier le CSIRT national ?

Les organisations de santé qualifiées d'entités essentielles sous la transposition NIS2 doivent notifier en trois étapes : early warning sous 24 heures, notification intermédiaire sous 72 heures, rapport final sous 30 jours. Lorsque l'incident implique une brèche de données de santé personnelles, l'autorité de protection des données doit également être notifiée sous 72 heures (RGPD art. 33). Les deux notifications sont indépendantes.

Quelles organisations de santé sont des entités essentielles NIS2 ?

Qualifiées comme essentielles : hôpitaux publics et privés accrédités, laboratoires d'analyses et de référence, fabricants de dispositifs médicaux critiques, distributeurs de médicaments, organisations de recherche clinique. La qualification dépend du secteur et de la taille (moyennes et grandes entreprises, avec exceptions pour les entités critiques). Les organisations plus petites peuvent relever de la catégorie importante ou rester hors périmètre, mais le RGPD s'applique toujours.

Que faire en cas de ransomware dans une organisation de santé ?

Cinq actions en parallèle : (1) activer le plan de continuité clinique pour garantir les soins ; (2) isoler les systèmes compromis sans les éteindre (pour préserver les preuves en RAM) ; (3) notifier le CSIRT national sous 24 heures si entité NIS2 ; (4) notifier la CNIL sous 72 heures si des données personnelles sont impliquées ; (5) démarrer l'incident response technique. Fortgale prend en charge les cinq lignes en parallèle.

Comment les dispositifs médicaux sont-ils protégés des cyber-attaques ?

Les dispositifs médicaux (PACS, RIS, moniteurs, pompes à perfusion, IoMT) peuvent rarement être mis à jour comme des endpoints IT. La protection repose sur : segmentation réseau dédiée (VLAN santé isolés), monitoring passif du trafic OT-aware, contrôle d'accès des vendors avec jump hosts MFA, inventaire firmware et CVE, durcissement périmétrique (gateways IoMT, brokers DICOM/HL7), conformité au Règlement MDR (UE) 2017/745 pour le cycle de vie.

Les organisations de santé privées sont-elles soumises aux mêmes obligations que les publiques ?

Oui. NIS2 s'applique indistinctement aux secteurs santé publics et privés au-dessus des seuils de taille. Les organisations privées accréditées sont souvent fournisseurs critiques des systèmes de santé publics et tombent dans les mêmes catégories d'entités essentielles. Le RGPD s'applique à parts égales. La différence concerne uniquement les procédures internes de nomination du responsable cybersécurité.

Recherche · menaces au secteur santé

Nous traquons les campagnes contre la santé européenne.

Nous profilons les gangs ransomware qui ont frappé les établissements de santé européens — TTPs, méthodes d'exfiltration de PHI, attaques contre la supply chain medical device. Recherche appliquée au périmètre santé, des autorités publiques aux structures privées.

Defence15 avr. 2026

Phishing Kits Bypass MFA and Hijack companies's accounts in minutes

Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…

Lire l'article →
Featured8 avr. 2026

Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds

In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…

Lire l'article →
Defence13 mars 2026

Operation Storming Tide: A massive multi-stage intrusion campaign

In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…

Lire l'article →
Featured4 sept. 2024

Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365

UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…

Lire l'article →
Featured18 déc. 2023

Espionage activities targeting European businesses

In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…

Lire l'article →
Featured6 déc. 2023

Nebula Broker: offensive operations made in Italy

Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…

Lire l'article →
Toutes les recherches sur le blog →
Parler avec le centre de défense

Un rendez-vous. Un NDA. Une conversation avec nos analystes.

Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.

Délai de réponse : < 1 jour ouvré.