{"id":13065,"date":"2026-04-24T22:19:41","date_gmt":"2026-04-24T22:19:41","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=13065"},"modified":"2026-04-25T12:06:24","modified_gmt":"2026-04-25T12:06:24","slug":"violation-de-donnees-dans-le-secteur-de-la-sante-2026","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/04\/24\/violation-de-donnees-dans-le-secteur-de-la-sante-2026\/","title":{"rendered":"500.000 donn\u00e9es de patients en 96 heures : Rapport d’incident anonyme d’un groupe hospitalier de la r\u00e9gion DACH"},"content":{"rendered":"

10 min. de lecture<\/p>\n

ANALYSE APPROFONDIE \u00b7 RAPPORT D’INCIDENT<\/div>\n

Entre mi mars et d\u00e9but avril 2026, le secteur de la sant\u00e9 a connu une vague de violations de donn\u00e9es : CareCloud, Hong Kong Hospital Authority, Signature Healthcare (ANUBIS-Ransomware, 09.04.2026), ACN Healthcare (Groupe Lynx, 10.04.2026) et Covenant Health avec pr\u00e8s de 480.000 personnes concern\u00e9es. Parall\u00e8lement, nous suivons dans la r\u00e9daction un incident anonyme dans un groupe hospitalier DACH (Allemagne, Autriche, Suisse) avec environ 500.000 dossiers patients. Le rapport suivant retrace les 96 heures du compromis initial jusqu’\u00e0 l’obligation de d\u00e9claration au BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) en vertu du NIS2 et fournit les le\u00e7ons apprises qui doivent int\u00e9grer chaque r\u00e9vision de Security-Operations-Playbook au cours des six prochaines semaines.<\/strong><\/p>\n

\nPoints cl\u00e9s (au 24.04.2026) :<\/strong><\/p>\n
    \n
  • Avril 2026 : Cinq violations de sant\u00e9 divulgu\u00e9es en quatre semaines, dont Covenant Health (480k) le 23.04. et Signature\/ACN deux semaines auparavant.<\/li>\n
  • L’affaire DACH : compromis initial via un passerelle de bureau \u00e0 distance compromise, 48 heures de mouvement lat\u00e9ral, 24 heures d’exfiltration, 24 heures d’escalade.<\/li>\n
  • Les quatre le\u00e7ons apprises : durcissement de la passerelle RDP, r\u00e9seaux de sauvegarde segment\u00e9s, politique uniforme de tra\u00e7abilit\u00e9 des audits, cha\u00eene de r\u00e9ponse aux incidents entra\u00een\u00e9e avec le BSI et la protection des donn\u00e9es.<\/li>\n
  • NIS2 exige le signalement initial dans les 24 heures apr\u00e8s prise de connaissance, le rapport interm\u00e9diaire apr\u00e8s 72 heures, le rapport final apr\u00e8s un mois. L’affaire DACH a respect\u00e9 les trois d\u00e9lais.<\/li>\n
  • L’obligation de d\u00e9claration RGPD s’applique en parall\u00e8le : notification \u00e0 l’autorit\u00e9 de contr\u00f4le dans les 72 heures, information des personnes concern\u00e9es en cas de risque \u00e9lev\u00e9 sans d\u00e9lai.<\/li>\n<\/ul>\n<\/div>\n

    Ce qui s’est pass\u00e9: les 96 heures en d\u00e9tail<\/h2>\n

    Qu’est-ce qu’un rapport d’incident dans le contexte de la sant\u00e9?<\/strong> Un rapport d’incident est la reconstruction \u00e9crite structur\u00e9e d’un incident de s\u00e9curit\u00e9 ou de protection des donn\u00e9es, construit le long des phases Initial Compromise (compromis initial), Execution (ex\u00e9cution), Persistence (persistance), Lateral Movement (mouvement lat\u00e9ral), Data Exfiltration (exfiltration de donn\u00e9es) et Impact. Dans le secteur de la sant\u00e9, le rapport a en outre pour t\u00e2che de documenter l’obligation de d\u00e9claration NIS2 aupr\u00e8s du BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik), la notification de la DSGVO (Datenschutz-Grundverordnung) aupr\u00e8s de l’autorit\u00e9 de contr\u00f4le et, le cas \u00e9ch\u00e9ant, l’information aux patients. Un rapport d’incident complet comprend g\u00e9n\u00e9ralement de 40 \u00e0 120 pages et constitue la base du suivi interne et de l’examen externe par les instances de protection des donn\u00e9es et de conformit\u00e9.<\/p>\n

    Dans le cas anonyme, un groupe de cliniques avec environ 500.000 dossiers patients a \u00e9t\u00e9 la cible d’un groupe de ran\u00e7ongiciel dont la signature pr\u00e9sentait plusieurs mod\u00e8les qui sont \u00e9galement apparus dans les vagues d’avril autour d’ANUBIS et Lynx. Le compromis initial a eu lieu le jour -4 via un passerelle de bureau \u00e0 distance (Remote Desktop Gateway) non corrig\u00e9e avec une configuration MFA (Multi-Factor Authentication) faible (bas\u00e9e sur SMS, sans facteur r\u00e9sistant au phishing). Les attaquants ont utilis\u00e9 un lot d’ Credential Stuffing provenant d’une pr\u00e9c\u00e9dente panne d’un tiers et ont obtenu l’acc\u00e8s \u00e0 un compte de maintenance avec des droits de lecture \u00e9tendus sur le SIH (Syst\u00e8me d’Information Hospitalier).<\/p>\n

    Les jours -3 et -2 ont \u00e9t\u00e9 utilis\u00e9s pour la reconnaissance et le mouvement lat\u00e9ral. Les attaquants ont \u00e9tabli une cha\u00eene de proxy SOCKS, install\u00e9 un beacon l\u00e9ger sur trois serveurs d’administration centraux et ont parcouru les partages de fichiers jusqu’\u00e0 localiser les sauvegardes. Le jour -1 a eu lieu l’exfiltration r\u00e9elle : environ 2,4 TB de donn\u00e9es, compress\u00e9es \u00e0 environ 420 GB, via la cha\u00eene SOCKS vers un stockage cloud externe. Le jour 0 \u00e0 04:12 heures, la phase de chiffrement a commenc\u00e9, en parall\u00e8le les sauvegardes en ligne ont \u00e9t\u00e9 supprim\u00e9es. \u00c0 07:30 heures, les premiers syst\u00e8mes sont tomb\u00e9s en panne, et \u00e0 08:45 heures, la direction informatique a \u00e9t\u00e9 alert\u00e9e.<\/p>\n

    Pourquoi le r\u00e9seau SIH joue un r\u00f4le particulier<\/h3>\n

    Les syst\u00e8mes d’information hospitali\u00e8re (SIH) sont des consortiums historiquement \u00e9tablis compos\u00e9s de bases de donn\u00e9es de patients, de serveurs DICOM, de syst\u00e8mes de laboratoire et de r\u00e9sultats, ainsi que d’\u00e9quipements m\u00e9dicaux sp\u00e9cialis\u00e9s. L’architecture dans de nombreux \u00e9tablissements est encore aujourd’hui plut\u00f4t un \u00ab\u00a0espace plat\u00a0\u00bb qu’un r\u00e9seau strictement segment\u00e9. Cela a des cons\u00e9quences : celui qui a un pied dans l’administration atteint souvent avec quelques mouvements lat\u00e9raux \u00e9galement les bases de donn\u00e9es de patients. Dans le cas anonyme, c’est pr\u00e9cis\u00e9ment l\u00e0 qu’\u00e9tait la faille critique, car bien que la segmentation VLAN existait, le r\u00e9seau de sauvegarde du SIH \u00e9tait accessible via un jumphost h\u00e9rit\u00e9 (legacy), que personne n’avait document\u00e9 dans la r\u00e9vision de s\u00e9curit\u00e9 actuelle.<\/p>\n

    Les quatre le\u00e7ons apprises en d\u00e9tail<\/h2>\n
    \n
    \n
    96 h<\/div>\n
    Du compromis initial \u00e0 la d\u00e9claration officielle au BSI. Correspond \u00e0 la limite sup\u00e9rieure de ce que NIS2 autorise dans le processus normal.<\/div>\n<\/p><\/div>\n
    \n
    500k<\/div>\n
    Dossiers de patients concern\u00e9s par la panne. Dans le cas comparable et public de Covenant Health, 480 000 personnes concern\u00e9es.<\/div>\n<\/p><\/div>\n
    \n
    24\/72<\/div>\n
    Heures : d\u00e9lai de d\u00e9claration initiale NIS2 et d\u00e9lai de d\u00e9claration RGPD. Les deux d\u00e9lais couraient parall\u00e8lement dans ce cas et ont \u00e9t\u00e9 respect\u00e9s.<\/div>\n<\/p><\/div>\n<\/div>\n

    Nous \u00e9crivons pour des magazines, pas pour la r\u00e9ponse aux incidents. Pourtant, nous apprenons chaque jour \u00e0 quel point la fronti\u00e8re entre une fonctionnalit\u00e9 informatique et un titre sensationnel est mince. Dans le secteur de la sant\u00e9, les titres ne sont pas la pire cons\u00e9quence, mais simplement la partie la plus facile des r\u00e9percussions.<\/p><\/blockquote>\n

    Le\u00e7on 1 : Le durcissement des passerelles RDP n’est pas n\u00e9gociable en 2026<\/h3>\n

    Les passerelles de bureau \u00e0 distance sont l’une des voies d’entr\u00e9e les plus fr\u00e9quentes dans le segment des soins de sant\u00e9. Dans le cas anonymis\u00e9, la vuln\u00e9rabilit\u00e9 r\u00e9sidait dans une combinaison de trois facteurs : un correctif de s\u00e9curit\u00e9 manquant depuis l’automne 2025, une MFA bas\u00e9e sur SMS (vuln\u00e9rable au phishing et non r\u00e9sistante \u00e0 l’adversaire au milieu) ainsi qu’un compte de maintenance provenant d’une panne externe de fournisseur tiers dans un lot d’espionnage d’identifiants. Le bloc de mesures correctives sp\u00e9cifique pour les cliniques avec leur propre passerelle RDP : Premi\u00e8rement, un statut de correctif mensuel dans une fen\u00eatre de maintenance d\u00e9finie, avec escalade en cas de failles de plus de 30 jours. Deuxi\u00e8mement, des Passkeys FIDO2 ou de plateforme obligatoires pour tous les comptes administratifs avec acc\u00e8s RDP. Troisi\u00e8mement, un monitoring de l’espionnage d’identifiants via l’API Have-I-Been-Pwned ainsi que des propres sources de renseignements sur les menaces, pour d\u00e9tecter les compromissions \u00e0 temps.<\/p>\n

    Le\u00e7on 2 : R\u00e9seaux de sauvegarde segment\u00e9s avec h\u00f4tes bastion explicites<\/h3>\n

    La deuxi\u00e8me le\u00e7on concernait la cha\u00eene de sauvegarde. Dans le cas, le r\u00e9seau de sauvegarde en ligne \u00e9tait accessible via un jumphost h\u00e9rit\u00e9, dont l’importance n’\u00e9tait plus document\u00e9e activement par personne. Ce n’est pas inhabituel : les syst\u00e8mes informatiques des cliniques ont souvent des chemins d’administration historiquement \u00e9tablis qui ne sont pas clairement refl\u00e9t\u00e9s dans la topologie r\u00e9seau officielle. La mesure corrective est une s\u00e9paration stricte des r\u00e9seaux de sauvegarde avec des h\u00f4tes bastion explicites, des droits d’acc\u00e8s document\u00e9s et une sauvegarde hors ligne physiquement s\u00e9par\u00e9e du r\u00e9seau en ligne. Dans ce cas, le processus de sauvegarde hors ligne a \u00e9t\u00e9 mis en place dans les semaines suivant la panne et a r\u00e9duit le temps de r\u00e9cup\u00e9ration dans le test de simulation ult\u00e9rieur de 14 jours \u00e0 4 jours.<\/p>\n

    Le\u00e7on 3 : Politique uniforme de tra\u00e7abilit\u00e9 d’audit sur tous les syst\u00e8mes m\u00e9dicaux sp\u00e9cialis\u00e9s<\/h3>\n

    L’un des plus grands d\u00e9fis de la phase de r\u00e9ponse aux incidents \u00e9tait la reconstruction de l’exfiltration. Les syst\u00e8mes sp\u00e9cialis\u00e9s (KIS, PACS, LIS, AIS) g\u00e9raient chacun leurs propres journaux d’audit avec des formats et des p\u00e9riodes de r\u00e9tention diff\u00e9rents. La consolidation a co\u00fbt\u00e9 environ 40 heures, dont environ 25 heures auraient pu \u00eatre \u00e9vit\u00e9es avec une politique de tra\u00e7abilit\u00e9 d’audit uniforme. La recommandation concr\u00e8te : un projet SIEM centralis\u00e9 qui alimente les syst\u00e8mes m\u00e9dicaux sp\u00e9cialis\u00e9s et impose une taxonomie d’\u00e9v\u00e9nements uniforme. Pour les groupes de cliniques de taille moyenne (3 \u00e0 8 sites), l’investissement la premi\u00e8re ann\u00e9e se situe entre 150 000 et 350 000 euros, g\u00e9n\u00e9ralement avec un taux de subvention de 30 \u00e0 40 % via le programme de succession KHZG.<\/p>\n

    Le\u00e7on 4 : Cha\u00eene de r\u00e9ponse aux incidents entra\u00een\u00e9e avec BSI, protection des donn\u00e9es et communication<\/h3>\n

    L’obligation de d\u00e9claration NIS2 s’applique dans les 24 heures suivant la connaissance d’un incident significatif. La d\u00e9claration RGPD \u00e0 l’autorit\u00e9 de contr\u00f4le doit avoir lieu dans les 72 heures. Parall\u00e8lement, les cascades de communication internes (direction de la clinique, direction m\u00e9dicale, comit\u00e9 d’entreprise) et les parties prenantes externes (repr\u00e9sentants des patients, pour les organismes cot\u00e9s en bourse, des communications ad-hoc suppl\u00e9mentaires) sont en cours. Quiconque n’entra\u00eene pas ces cascades dans le cadre d’exercices de simulation annuels perd les d\u00e9lais en cas de situation r\u00e9elle. Dans ce cas, le groupe de cliniques avait \u00e9tabli une simulation semestrielle ; c’est pr\u00e9cis\u00e9ment cette routine qui explique pourquoi la d\u00e9claration initiale au BSI a \u00e9t\u00e9 effectu\u00e9e apr\u00e8s seulement 21 heures, la d\u00e9claration RGPD apr\u00e8s 58 heures, et l’information aux patients apr\u00e8s 9 jours.<\/p>\n

    Ce que cela signifie pour votre organisation<\/h2>\n

    La vague de violations de donn\u00e9es dans le secteur de la sant\u00e9 en avril 2026 n’est pas un hasard. Les groupes de ransomware ont identifi\u00e9 ce segment comme une cible lucrative, car la combinaison d’infrastructures critiques, de forte propension \u00e0 payer des ran\u00e7ons et de r\u00e9seaux historiquement faiblement segment\u00e9s est attractive pour les attaquants. La cons\u00e9quence pour les services informatiques des cliniques de la r\u00e9gion DACH (Allemagne, Autriche, Suisse) : les quatre le\u00e7ons apprises devraient \u00eatre visibles dans les mesures prises d’ici la fin du deuxi\u00e8me trimestre 2026, et non apr\u00e8s un incident survenu dans leur propre \u00e9tablissement.<\/p>\n

    Une \u00e9tape interm\u00e9diaire pragmatique : un exercice de simulation bas\u00e9 sur le sc\u00e9nario de 96 heures d\u00e9crit ici, en collaboration avec les services informatiques, la protection des donn\u00e9es, la direction de la clinique et une firme externe de r\u00e9ponse aux incidents. Le temps n\u00e9cessaire est d’une demi-journ\u00e9e, mais le gain en termes de connaissances est consid\u00e9rable dans la pratique. Si, apr\u00e8s un tel exercice, trois mesures concr\u00e8tes ne peuvent pas \u00eatre d\u00e9duites, cela signifie soit que l’informatique est exceptionnellement bonne, soit que la direction de l’h\u00f4pital est exceptionnellement honn\u00eate. Les deux cas sont plus rares dans la r\u00e9alit\u00e9 qu’on ne pourrait le penser.<\/p>\n

    Ce que la direction et le conseil de surveillance attendent apr\u00e8s un incident<\/h3>\n

    En plus de la r\u00e9ponse technique \u00e0 l’incident, un second bloc de travail attend de nombreuses organisations, souvent sous-estim\u00e9 : la post-analyse par les organes de surveillance. Le conseil de surveillance d’un groupe hospitalier ou d’une entreprise pharmaceutique attend trois artefacts concrets apr\u00e8s un tel incident. Premi\u00e8rement, un rapport de le\u00e7ons apprises qui identifie les causes sans m\u00e9nagement et ne dissimule aucune demi-v\u00e9rit\u00e9. Deuxi\u00e8mement, un plan d’action avec des responsabilit\u00e9s claires et des d\u00e9lais jusqu’\u00e0 la prochaine r\u00e9union. Troisi\u00e8mement, un budget qui priorise les investissements suppl\u00e9mentaires pour le renforcement de la s\u00e9curit\u00e9 et les justifie par la d\u00e9claration NIS2.<\/p>\n

    Celui qui ne fournit pas ces trois artefacts dans les deux premi\u00e8res semaines apr\u00e8s la ma\u00eetrise de l’incident perd l’initiative face aux questions externes (assureurs, auditeurs, autorit\u00e9s de surveillance). Les post-analyses les plus r\u00e9ussies combinent la profondeur technique avec une communication de direction honn\u00eate. Les moins r\u00e9ussies sont un m\u00e9lange de \u00ab\u00a0c’\u00e9tait de la malchance\u00a0\u00bb et \u00ab\u00a0nous avions tout fait correctement\u00a0\u00bb, et ces deux affirmations sont rarement vraies dans un rapport d’incident de cette envergure.<\/p>\n

    Regard sur la vague d’avril : ce qui se d\u00e9gage des incidents<\/h3>\n

    Les cinq incidents publics, de CareCloud \u00e0 Covenant Health en passant par les victimes des groupes ANUBIS et Lynx, montrent trois sch\u00e9mas communs. Premi\u00e8rement, la compromission initiale se fait principalement via des acc\u00e8s \u00e0 distance (RDP, VPN, portails de t\u00e9l\u00e9travail). Deuxi\u00e8mement, l’exfiltration est utilis\u00e9e comme principal moyen de pression avant le chiffrement, et non l’inverse. Troisi\u00e8mement, les groupes de ransomware ne publient pas seulement des demandes de ran\u00e7on, mais aussi des exemples de preuves de violation sur des sites de fuite pour augmenter leur pouvoir de n\u00e9gociation. Chacun de ces trois points pr\u00e9sente des contre-mesures pertinentes ; chaque organisation devrait les \u00e9valuer dans sa propre situation.<\/p>\n

    La dimension de l’assurance cyber, souvent absente des discussions au sein des conseils d’administration<\/h3>\n

    Un aspect souvent pris au s\u00e9rieux dans les groupes hospitaliers seulement apr\u00e8s le deuxi\u00e8me ou troisi\u00e8me incident est le r\u00f4le de l’assurance cyber et des obligations qui y sont li\u00e9es. De nombreuses polices exigent, comme condition de prestation, non seulement des normes de s\u00e9curit\u00e9 de base, mais aussi des exercices de simulation d\u00e9montrables et des processus de r\u00e9ponse aux incidents document\u00e9s. Celui qui constate, en cas de sinistre, que ces obligations ne sont pas correctement remplies peut perdre jusqu’\u00e0 100 % des prestations d’assurance, bien que les primes aient \u00e9t\u00e9 pay\u00e9es pendant des ann\u00e9es. La recommandation : passer en revue chaque ann\u00e9e les obligations de votre police cyber avec votre courtier et documenter la conformit\u00e9 avec les op\u00e9rations de s\u00e9curit\u00e9 r\u00e9elles.<\/p>\n

    Un second aspect de plus en plus pertinent dans l’assurance cyber pour le secteur de la sant\u00e9 en 2026 est le plafond des montants de couverture pour les pannes de dispositifs biom\u00e9dicaux dans de nombreuses polices. Les organisations qui ne peuvent restaurer que partiellement les syst\u00e8mes OT (dispositifs m\u00e9dicaux, \u00e9quipements de laboratoire, syst\u00e8mes d’imagerie) en cas de ransomware peuvent se retrouver avec des dommages non couverts. La cons\u00e9quence op\u00e9rationnelle est une cartographie granulaire des risques de votre paysage OT avec une \u00e9valuation explicite des cons\u00e9quences des pannes par cat\u00e9gorie de dispositif. Sans cette cartographie, les arguments en cas de sinistre manquent de fondement. Un apr\u00e8s-midi de cartographie peut \u00e9viter un trimestre de discussions avec l’assureur.<\/p>\n

    Questions fr\u00e9quentes<\/h2>\n

    Comment la directive NIS2 s’applique-t-elle en cas de violation de donn\u00e9es dans le secteur de la sant\u00e9 ?<\/h3>\n

    Les \u00e9tablissements essentiels et importants (y compris la plupart des grandes cliniques) doivent signaler les incidents majeurs au BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) dans les 24 heures (alerte pr\u00e9coce), fournir une notification d’incident avec une \u00e9valuation initiale dans les 72 heures, et soumettre un rapport final dans le mois. La d\u00e9claration se fait via le portail de d\u00e9claration du BSI. Les d\u00e9tails sur la qualification d’un \u00ab\u00a0incident majeur\u00a0\u00bb sont r\u00e9gis par le r\u00e8glement sp\u00e9cifique du BSI.<\/p>\n

    Que doit faire un directeur de clinique dans les deux premi\u00e8res heures ?<\/h3>\n

    Trois actions : Premi\u00e8rement, convoquer une cellule de crise (IT, d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, direction m\u00e9dicale, communication, service juridique). Deuxi\u00e8mement, faire pr\u00e9parer les documents relatifs \u00e0 l’obligation de d\u00e9claration NIS2 et \u00e0 la notification RGPD pour ne pas d\u00e9passer les d\u00e9lais. Troisi\u00e8mement, activer une soci\u00e9t\u00e9 externe de r\u00e9ponse aux incidents si l’\u00e9quipe interne n’est pas suffisante. Les organisations qui accomplissent ces trois t\u00e2ches dans les deux premi\u00e8res heures auront une longueur d’avance sur celles qui commencent \u00e0 coordonner \u00e0 la quatri\u00e8me heure.<\/p>\n

    Comment communiquer avec les patients sans cr\u00e9er de panique ?<\/h3>\n

    Le RGPD exige que les personnes concern\u00e9es soient inform\u00e9es en cas de risque \u00e9lev\u00e9, dans un langage clair et simple. En pratique, des lettres FAQ courtes avec trois sections sont efficaces : ce qui s’est pass\u00e9, quelles donn\u00e9es sont concern\u00e9es, et ce que les personnes concern\u00e9es doivent faire. La panique survient g\u00e9n\u00e9ralement \u00e0 cause d’une communication tardive ou d\u00e9fensive, et non d’une information claire. Une communication proactive et factuelle r\u00e9duit le nombre d’appels au standard de la clinique de 40 \u00e0 60 %, selon nos observations.<\/p>\n

    Faut-il payer une ran\u00e7on si des vies de patients sont en danger ?<\/h3>\n

    En Allemagne, le paiement n’est pas interdit par la loi, mais il est clairement d\u00e9conseill\u00e9 par le BSI et le BKA (Bundeskriminalamt). \u00c9thiquement et pratiquement, la d\u00e9cision est complexe : un paiement finance la prochaine campagne et, dans environ 30 % des cas, ne permet pas la r\u00e9cup\u00e9ration compl\u00e8te des donn\u00e9es. Dans un cas anonymis\u00e9, la ran\u00e7on n’a pas \u00e9t\u00e9 pay\u00e9e ; la r\u00e9cup\u00e9ration a \u00e9t\u00e9 effectu\u00e9e via des sauvegardes hors ligne avec un d\u00e9lai de r\u00e9cup\u00e9ration de 4 jours. Une base de d\u00e9cision document\u00e9e (comit\u00e9 d’\u00e9thique, direction, direction m\u00e9dicale) devrait \u00eatre en place avant une situation d’urgence.<\/p>\n

    Quel r\u00f4le joue le successeur du KHZG pour les investissements en cybers\u00e9curit\u00e9 ?<\/h3>\n

    Le Krankenhauszukunftsgesetz (KHZG) avait pr\u00e9vu des fonds importants pour la cybers\u00e9curit\u00e9 de 2020 \u00e0 2024. Les programmes de suivi (projets f\u00e9d\u00e9raux-r\u00e9gionaux pour la s\u00e9curit\u00e9 informatique dans le secteur de la sant\u00e9) poursuivent ce financement sous de nouvelles conditions. Pour les cliniques, il est int\u00e9ressant d’examiner les fen\u00eatres de financement actuelles, car les projets SIEM, la segmentation du r\u00e9seau et les tests d’intrusion peuvent souvent \u00eatre cofinanc\u00e9s \u00e0 hauteur de 30 \u00e0 50 %.<\/p>\n

    Combien de temps faut-il \u00e0 une clinique pour \u00eatre r\u00e9ellement \u00ab\u00a0pr\u00eate pour NIS2\u00a0\u00bb ?<\/h3>\n

    Pour un groupe hospitalier de taille moyenne, nous estimons qu’il faudra entre 9 et 15 mois pour \u00eatre pleinement conforme \u00e0 NIS2, en fonction du niveau de maturit\u00e9 actuel. Les trois premiers mois sont g\u00e9n\u00e9ralement consacr\u00e9s \u00e0 l’analyse des \u00e9carts, les mois quatre \u00e0 douze \u00e0 la mise en \u0153uvre des mesures critiques, et les trois derniers mois aux exercices de simulation et \u00e0 la documentation. Ceux qui commencent plus tard risquent de se retrouver avec une documentation incompl\u00e8te lors des vagues d’inspection du BSI en 2026 et 2027.<\/p>\n

    R\u00e9seau : Lire la suite dans Security Today<\/h3>\n