Quand un hôpital se retrouve à l’arrêt, blocs reportés et écrans figés, le réflexe collectif consiste à chercher le point d’entrée à l’intérieur des murs. Un poste mal configuré, un agent qui a cliqué là où il ne fallait pas. C’est presque rassurant, parce que c’est interne, donc en théorie maîtrisable. Sauf que la réalité de 2025 raconte une autre histoire.
L’an dernier, l’Agence du numérique en santé n’est pas seulement intervenue auprès d’établissements de soins. Elle a aussi sollicité neuf prestataires de solutions métier, après avoir repéré des vulnérabilités sur leurs serveurs exposés sur internet. La faille n’était donc pas dans l’hôpital. Elle était chez celui qui lui fournit son logiciel.
Si vous éditez un dossier patient informatisé, si vous hébergez des données de santé ou si vous faites tourner une plateforme de télémédecine, ce constat vous regarde de très près. La cible cyber du secteur n’a pas disparu. Elle a changé d’adresse, et la vôtre figure désormais en bonne place sur la liste de diffusion.
Nous avions consacré un premier article à la cybersécurité en santé, en rappelant que protéger les patients ne se joue pas qu’au bloc opératoire. Celui-ci en prolonge la logique, mais déplace la focale : non plus l’établissement, mais la filière qui le fournit.
L’hôpital n’est plus le seul front

Pendant des années, le récit médiatique de la cybersécurité en santé s’est concentré sur l’établissement victime : le centre hospitalier paralysé, les rendez-vous annulés, le retour contraint au papier et au stylo. Ce récit n’est pas faux. Il est simplement devenu incomplet.
L’Observatoire des incidents de sécurité du CERT Santé a recensé 764 signalements en 2025, un volume quasiment stable par rapport à l’année précédente. Derrière cette stabilité apparente, le centre de gravité s’est déplacé. Les rançongiciels reculent nettement, tandis que les comptes compromis, les accès illégitimes et les fuites de données prennent le relais. Surtout, ces fuites ne touchent plus seulement les établissements eux-mêmes : elles s’étendent aux opérateurs et aux prestataires, publics comme privés, et alimentent une médiatisation que personne dans la filière n’a envie de subir.
La logique est connue des attaquants depuis longtemps, mais elle se vérifie aujourd’hui à grande échelle dans la santé. Pourquoi forcer la porte blindée d’un grand établissement quand on peut entrer par le fournisseur qui dispose, lui, d’un accès permanent et légitime à ce même établissement ? À l’échelle européenne, l’ENISA estime que les attaques visant la chaîne de sous-traitance et les prestataires de services représentent environ 7 % des incidents recensés dans le secteur santé. Le chiffre peut sembler modeste. Son effet de levier, lui, ne l’est pas : un seul prestataire compromis, et ce sont potentiellement des dizaines de clients exposés d’un coup.
Pour le sous-traitant, le message est limpide. Vous n’êtes plus un acteur périphérique du risque. Vous en êtes devenu un maillon central, et probablement le plus observé.
Une filière, trois métiers, trois expositions distinctes

Parler de « sous-traitants critiques de la santé numérique » a quelque chose de commode et de trompeur à la fois. Commode, parce que ces acteurs partagent une même pression réglementaire. Trompeur, parce que leurs situations n’ont, dans le détail, pas grand-chose en commun.
L’éditeur de dossier patient informatisé conçoit le logiciel au cœur du quotidien soignant. Son code est déployé chez des centaines de clients, et la moindre vulnérabilité se propage mécaniquement à l’ensemble du parc. Son enjeu est celui de la sécurité applicative : développement sécurisé, gestion rigoureuse du cycle de vie des correctifs, capacité à réagir vite lorsqu’une faille devient publique.
L’hébergeur de données de santé, lui, porte une responsabilité d’infrastructure. Disponibilité, cloisonnement, supervision, plan de continuité : son métier consiste à garantir que la donnée reste accessible, intègre et confidentielle, vingt-quatre heures sur vingt-quatre. La certification HDS encadre cette activité, et nous y reviendrons.
La plateforme de télémédecine, enfin, cumule les deux mondes. Elle développe un service, héberge des données particulièrement sensibles et expose une interface directement au grand public, donc à tout ce que le grand public peut amener de tentatives d’intrusion. Sa surface d’attaque est large, et sa fenêtre de tolérance à l’incident, très étroite.
Trois métiers, trois cultures techniques, trois maturités. Et donc, on le verra plus loin, trois besoins de recrutement qui ne se ressemblent pas.
La mécanique de la pression : pourquoi elle descend, et pourquoi elle s’arrête chez vous

Reste à comprendre pourquoi cette exigence réglementaire, longtemps cantonnée aux établissements, se déverse aujourd’hui sur leurs fournisseurs. Deux textes l’expliquent, et leur combinaison est redoutablement efficace.
NIS 2 : la conformité devient contagieuse
La directive européenne NIS 2 élargit considérablement le périmètre de la régulation cyber. Là où le dispositif précédent visait sept secteurs, NIS 2 en couvre dix-huit, et la santé y figure parmi les secteurs dits essentiels. En France, sa transposition passe par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Adopté par le Sénat dès octobre 2024, voté à l’unanimité en commission à l’Assemblée nationale en septembre 2025, le texte n’avait toujours pas été examiné en séance publique au début de 2026, ce qui place la France en situation de retard assumé vis-à-vis de Bruxelles.
Ce calendrier poussif ne doit pourtant tromper personne, pour une raison précise. NIS 2 ne s’arrête pas aux portes des grandes entités régulées. La directive insiste explicitement sur la sécurité de la chaîne d’approvisionnement, et une entité essentielle a désormais tout intérêt, voire l’obligation, de s’assurer du niveau de sécurité de ses fournisseurs. Concrètement, un hôpital soumis à NIS 2 répercutera ses exigences par contrat sur ses prestataires. Vous pouvez très bien ne pas être directement assujetti et vous retrouver malgré tout à appliquer les mesures, simplement parce que votre client, lui, l’est. La conformité, en santé numérique, est devenue contagieuse.
HDS version 2 : l’échéance qui ne se négocie pas
Le second levier est plus tranchant encore, parce qu’il porte une date. La certification d’hébergeur de données de santé a été révisée : un nouveau référentiel, aligné sur la version 2022 de la norme ISO/IEC 27001 et renforcé sur les exigences de souveraineté, s’applique désormais. Et tous les certificats HDS encore actifs devaient basculer sur cette nouvelle version au plus tard le 16 mai 2026. Cette échéance n’est pas une perspective lointaine : elle vient de tomber.
Le référentiel HDS révisé ne se contente pas d’exiger des dispositifs techniques. Il demande aussi que les personnels soient sensibilisés à la criticité des données hébergées, et il impose à l’hébergeur de communiquer à ses clients le périmètre de son certificat, mais aussi celui de ses propres sous-traitants. La chaîne de responsabilité devient explicite, documentée et vérifiable. On ne peut plus se réfugier derrière le prestataire de son prestataire.
Mises bout à bout, ces deux dynamiques produisent un effet d’une grande simplicité. Vos clients, établissements de santé en tête, sont sommés de se mettre en règle. Pour se mettre en règle, ils doivent prouver que leurs fournisseurs le sont aussi. Et vous êtes ce fournisseur.
Ce que cela change concrètement en 2026

Sur le terrain, cette mécanique se traduit par des évolutions très concrètes, qui ont peu à voir avec la théorie réglementaire.
D’abord, les questionnaires de sécurité se multiplient et se durcissent. Là où un client se contentait hier d’une attestation, il réclame aujourd’hui des preuves : politique de sécurité, résultats de tests d’intrusion, plan de continuité, organisation de la réponse à incident. Les appels d’offres du secteur hospitalier intègrent des clauses cyber de plus en plus précises, et la capacité à y répondre devient un critère de sélection à part entière, parfois éliminatoire.
Ensuite, l’audit cesse d’être un événement pour devenir un régime permanent. La certification HDS impose un audit de surveillance annuel. NIS 2 introduit des obligations de notification d’incident à l’ANSSI. Pour un sous-traitant, cela signifie qu’il faut tenir la conformité dans la durée, et pas seulement le jour de l’évaluation. Une exigence qui se pilote avec des compétences internes, pas avec un effort ponctuel suivi d’un long soupir de soulagement.
Enfin, et c’est sans doute le point le plus structurant, la sécurité quitte le terrain purement technique pour devenir un sujet commercial et de gouvernance. Un éditeur de dossier patient informatisé qui ne sait pas répondre proprement à un questionnaire de sécurité perd des marchés. Un hébergeur dont le certificat HDS prend du retard voit ses clients s’inquiéter, puis regarder ailleurs. La cybersécurité est passée du centre de coûts au facteur de différenciation, et accessoirement de survie commerciale.
Si ce raisonnement vous semble familier, c’est normal : il prolonge directement la logique du règlement européen sur la cyberrésilience, dont nous avons détaillé les enjeux et les impacts pour les entreprises, et qui applique aux produits numériques une exigence du même ordre.
Le vrai sujet : ces obligations, il faut savoir les recruter

Voici le moment où le discours réglementaire rencontre un mur très concret. On peut rédiger les meilleures politiques de sécurité du monde, elles ne s’appliquent pas toutes seules. Derrière chaque exigence se cache une compétence, et derrière chaque compétence, une personne qu’il faut aller chercher sur un marché notoirement tendu.
Les chiffres sont connus et ils ne s’arrangent pas. La France compte environ 15 000 postes en cybersécurité non pourvus, et l’Observatoire prospectif des métiers de la branche numérique projette 25 000 postes à pourvoir d’ici 2028. L’Observatoire des métiers de l’ANSSI confirme par ailleurs que les profils les plus demandés dans les offres d’emploi sont les architectes en cybersécurité, devant les consultants et les ingénieurs. Pour un sous-traitant de la santé numérique, cela veut dire une chose : vous ne recruterez pas votre conformité en claquant des doigts, et vous serez en concurrence directe avec des banques, des industriels et des cabinets de conseil aux budgets confortables.
C’est précisément là qu’un cabinet de recrutement cybersécurité prend toute son utilité, à condition de ne pas se contenter d’aligner des curriculum vitae. Car le besoin n’est pas le même selon l’endroit où vous vous situez sur la courbe de maturité.
Une jeune plateforme de télémédecine qui découvre, un peu tard, l’ampleur de ses obligations n’a pas besoin d’une équipe de dix personnes. Elle a besoin d’un premier profil structurant, capable de poser une feuille de route, de prioriser les chantiers et de dialoguer aussi bien avec les développeurs qu’avec le comité de direction. Recruter trop pointu serait un gaspillage. Recruter trop tard serait un risque.
Un hébergeur HDS déjà certifié, lui, joue une autre partition. Il dispose souvent d’un responsable de la sécurité des systèmes d’information, mais il doit étoffer : analystes pour la supervision, profils orientés gouvernance, risques et conformité pour tenir les audits, ingénieurs capables d’industrialiser la sécurité au rythme des déploiements. Sa difficulté n’est pas de comprendre le besoin, mais de le pourvoir vite et bien.
Un éditeur de dossier patient informatisé, enfin, a tout intérêt à intégrer la sécurité au plus près du développement. Les compétences mêlant maîtrise du code et culture de la sécurité applicative sont parmi les plus rares et les plus disputées du marché. Les attirer suppose un discours d’employeur solide, une proposition de valeur claire et une connaissance fine de ce que ces profils recherchent réellement.
Le rôle d’un cabinet de recrutement cybersécurité ne se résume donc pas à dérouler une fiche de poste générique. C’est d’abord situer l’entreprise dans sa maturité, traduire une contrainte réglementaire en organigramme cible, puis aller chercher des profils que les annonces classiques laissent indifférents. C’est aussi, parfois, dire à un dirigeant que le poste qu’il imagine n’est pas le poste dont il a besoin. Ce décalage entre les attentes du marché et la réalité des candidats, nous l’avons analysé en détail dans notre bilan du grand écart de 2025, et il mérite d’être lu avant de lancer le moindre recrutement.
Il existe enfin un vivier que ces structures sous-estiment souvent : les profils juniors et en reconversion. L’Observatoire des métiers de l’ANSSI rappelle que, pour la moitié des professionnels en poste, la cybersécurité n’était pas le domaine d’origine. Bien préparés, ces profils peuvent devenir opérationnels rapidement, à condition d’avoir été correctement orientés et formés en amont. C’est exactement la vocation de notre Académie Cyber : raccourcir la phase de préparation, pour qu’un junior arrive en poste avec les bons réflexes plutôt qu’avec un diplôme et beaucoup de bonne volonté.
L’avis de Rehackt

Disons les choses sans détour. Pour un sous-traitant de la santé numérique, la séquence en cours est inconfortable, mais elle n’est pas une mauvaise nouvelle. Elle est même, à bien y regarder, une opportunité déguisée en contrainte.
L’inconfort est réel : on vous demande de financer et d’organiser un niveau de sécurité que vous n’aviez pas nécessairement anticipé, et on vous le demande maintenant. Mais contrairement à beaucoup d’établissements de soins, soumis depuis des années à un sous-investissement numérique chronique, vous, éditeurs, hébergeurs et plateformes, disposez généralement d’un modèle économique, de marges et d’une capacité d’investissement. Vous avez les moyens de faire ce que l’hôpital, trop souvent, n’a pas les moyens de faire.
Et là où la conformité ressemble à une charge, elle peut se muer en argument. Le sous-traitant qui prend de l’avance, qui sait exhiber une équipe structurée et un certificat HDS à jour, ne se contente pas de cocher des cases. Il rassure ses clients, il remporte des appels d’offres, il transforme une obligation subie en avantage compétitif. Les autres découvriront, un questionnaire de sécurité après l’autre, que l’attentisme finit toujours par coûter plus cher que l’anticipation.
Notre conviction tient en une phrase : dans la santé numérique, la cybersécurité a cessé d’être un sujet d’experts pour devenir un sujet de dirigeants. Et un sujet de dirigeants se traite avec une stratégie, un budget et les bonnes personnes aux bons postes. Le reste n’est que rattrapage.
Y voir clair avant que vos clients ne s’en chargent

Que vous éditiez un logiciel de santé, hébergiez des données sensibles ou opériez une plateforme de soin à distance, la question n’est plus de savoir si vos clients vont vous interroger sur votre sécurité, mais quand. Autant aborder cet échange avec une équipe à la hauteur.
Chez Rehackt, cabinet de recrutement spécialisé en cybersécurité et IT, nous accompagnons les acteurs de la santé numérique pour transformer une contrainte réglementaire en organisation solide : identification des bons profils, calibrage selon votre maturité, et orientation de candidats juniors prometteurs via notre Académie Cyber. Parlons de votre feuille de route avant qu’un appel d’offres ne la dicte à votre place.
Si vu d’ici, ça a l’air compliqué, appelez Rehackt.
Note de transparence sur les sources
Fidèles à notre habitude, nous distinguons ce qui relève des faits vérifiés, des hypothèses raisonnées et des éléments encore incertains.
Faits avérés. Les 764 incidents déclarés au CERT Santé en 2025 et leur stabilité par rapport à 2024 ; l’intervention de l’Agence du numérique en santé auprès de neuf prestataires de solutions métier à la suite de vulnérabilités identifiées ; le recul des rançongiciels au profit des comptes compromis et des fuites de données ; l’échéance du 16 mai 2026 pour la bascule des certificats HDS sur le référentiel révisé ; le périmètre élargi de NIS 2 et l’état d’avancement de sa transposition française au début de 2026 ; la part d’environ 7 % des incidents santé liés à la chaîne de sous-traitance selon l’ENISA ; les quelque 15 000 postes cyber non pourvus en France et la projection de 25 000 postes à pourvoir d’ici 2028.
Hypothèses plausibles. L’idée que les sous-traitants de la santé numérique disposent, en moyenne, d’une capacité d’investissement supérieure à celle des établissements de soins ; l’intensification attendue des audits et questionnaires de sécurité côté clients en 2026. Ces éléments reposent sur des tendances documentées et sur nos observations de terrain, sans constituer une mesure statistique.
Éléments incertains. La date exacte d’entrée en vigueur de la transposition française de NIS 2, encore en discussion parlementaire ; le périmètre précis des sous-traitants qui relèveront directement de NIS 2 plutôt que de la seule certification HDS, qui dépendra des décrets d’application à venir.
Sources mobilisées. CERT Santé et Agence du numérique en santé, Observatoire 2025 des incidents de sécurité des systèmes d’information en santé et médico-social ; ANSSI, Observatoire des métiers de la cybersécurité, 4e édition (2025) ; ENISA, Threat Landscape 2025 et travaux dédiés au secteur santé ; Observatoire prospectif des métiers et des qualifications de la branche numérique (OPIIEC) ; dossiers parlementaires relatifs au projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité. Les chiffres cités étant susceptibles d’évoluer, ils sont à actualiser au fil des prochaines publications.
Un recrutement cyber à confier ? On voit ces moments avant vous.


