Un clic sur une pièce jointe malveillante peut suffire. L’activité d’un hôpital peut alors s’arrêter immédiatement. Ces dernières années, plusieurs attaques ont révélé la vulnérabilité du secteur de la santé. Par conséquent, la directive européenne NIS2 impose des responsabilités précises : du conseil d’administration au support IT, chacun doit savoir quel rôle il occupe en cas de crise.
Responsabilités selon l’article 21 de NIS2
NIS2 oblige les entités des secteurs critiques, dont la santé, à instaurer une gestion structurée des risques. L’article 21 de la directive prévoit notamment : analyses de risques régulières, plans documentés de continuité et de reprise d’activité (BCP/DRP), contrôles de la chaîne d’approvisionnement, chiffrement des données sensibles et programmes de formation. Ainsi, la direction est explicitement responsable. La cybersécurité n’est donc plus seulement une tâche informatique.
L’ECSF comme outil pratique : rôles et profils
Le European Cybersecurity Skills Framework (ECSF) de l’ENISA définit douze profils. Ils servent de référence pour mettre en œuvre les obligations NIS2. En outre, le guide « Mapping NIS2 Obligations with ECSF Role Profiles » (2025) détaille comment attribuer chaque tâche. Parmi les rôles cités :
Chief Information Security Officer (CISO) : stratégie, politiques de sécurité et gestion de crise.
Cyber Incident Responder : réaction rapide, coordination interne et externe, respect des obligations de notification selon l’article 23.
Cyber Legal, Policy & Compliance Officer : conformité réglementaire, reporting et sensibilisation de la direction aux enjeux de responsabilité.
Cybersecurity Architect : conception d’architectures sécurisées, segmentation des réseaux hospitaliers, protection des dispositifs médicaux et des données sensibles.
Études de cas : cyberattaques contre des hôpitaux
Ces dernières années, plusieurs hôpitaux européens ont été frappés. En 2024, une attaque contre le prestataire Synnovis a perturbé les hôpitaux londoniens. Plus de 1 600 opérations et traitements ont dû être reportés (The Guardian ; NHS England). De plus, à l’été 2025, le groupe Ameos a dû arrêter les systèmes IT dans plusieurs établissements (The Register). Ces cas montrent un constat clair : sans rôles définis et chaînes de notification, l’organisation se désagrège et les patients sont exposés.
Perspective suisse : obligation de notification depuis 2025
Depuis le 1er avril 2025, la Suisse impose une obligation légale de notification des cyberattaques visant les infrastructures critiques. L’Office fédéral de la cybersécurité (BACS) exige un premier signalement sous 24 heures, puis un rapport détaillé sous 14 jours. Toutefois, ces délais ne sont tenables que si les rôles comme Incident Responder ou Compliance Officer sont désignés en amont. La mesure répond ainsi à la multiplication des attaques contre la santé et les services essentiels.
Mise en œuvre : de la théorie à la pratique
Pour agir efficacement, les hôpitaux devraient établir un organigramme de sécurité basé sur l’ECSF. Qui gère le reporting ? Qui audite les fournisseurs ? Qui forme le personnel ? Dans les petites structures, une seule personne peut assumer plusieurs rôles. En revanche, les grands établissements exigent des fonctions spécialisées. L’essentiel n’est pas le titre, mais que les responsabilités soient clairement définies et appliquées.
Conclusion
Les responsabilités NIS2 dans la santé doivent être intégrées dans l’organisation et appliquées au quotidien. L’ECSF fournit un cadre pragmatique qui aide à traduire les obligations en rôles concrets. Ainsi, hôpitaux, laboratoires et cabinets gagnent en clarté, en rapidité d’action et en conformité.
CISO as a Service – votre prochain pas
Respecter NIS2 exige des responsabilités claires et des processus éprouvés. Avec notre offre CISO as a Service, nous vous proposons des experts chevronnés : stratégie de sécurité, gouvernance, gestion des risques et accompagnement en cas de crise.
Vous bénéficiez ainsi d’une expertise équivalente à celle d’un CISO interne, dans un modèle adapté à votre structure et à votre budget. Contactez-nous pour un échange sans engagement et découvrez comment respecter vos obligations NIS2 de manière pragmatique et efficace.
À retenir – définir clairement les rôles
Élaborez un organigramme de sécurité fondé sur l’ECSF, attribuez les responsabilités et testez les scénarios d’urgence. Ainsi, vous serez en mesure de réagir rapidement et en conformité lors d’une attaque.
