ANSSI : cybersécurité et protection des données de santé

Introduction

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) occupe une place stratégique dans la protection des infrastructures numériques françaises. Placée sous l’autorité du Premier ministre, elle est l’autorité nationale en matière de cybersécurité.

Dans un monde où les cyberattaques se multiplient et où les données de santé représentent une cible de choix, l’ANSSI joue un rôle essentiel pour garantir la confidentialité, l’intégrité et la disponibilité des systèmes d’information.

Les cabinets de kinésithérapie, qui traitent des données sensibles, doivent se familiariser avec les missions de l’agence afin de se prémunir contre les risques et se conformer aux obligations réglementaires.

1. Les missions et l’écosystème de la cybersécurité en santé

Le plan stratégique 2025‑2027 de l’ANSSI présente cinq grandes missions : protéger les systèmes et les victimes des cyberattaques (défendre), acquérir une connaissance approfondie des menaces et des vulnérabilités (connaître), diffuser les bonnes pratiques et les méthodes de protection (partager), accompagner les autorités et les organisations dans la mise en œuvre de la politique de sécurité (accompagner), et développer un cadre juridique et normatif en matière de cybersécurité (réguler) cyber.gouv.fr cyber.gouv.fr.

L’agence se positionne comme le centre de compétences national qui élabore des référentiels et délivre des labels (SecNumCloud, référentiel d’hébergement de données de santé) garantissant la conformité et la robustesse des solutions.

L’ANSSI travaille de concert avec d’autres autorités, comme la Commission Nationale de l’Informatique et des Libertés (CNIL) et l’Agence du Numérique en Santé (ANS), pour s’assurer que les plateformes numériques respectent le cadre réglementaire, notamment le Règlement Général sur la Protection des Données (RGPD).

Elle coordonne le réseau des correspondants en cybersécurité dans les administrations et intervient auprès des Opérateurs d’Importance Vitale (OIV), dont plusieurs hôpitaux et établissements de santé, afin de renforcer leur résilience face aux attaques.

Dans le domaine de la santé, elle collabore avec le ministère chargé du numérique en santé pour sécuriser les services de télé‑soin, les dossiers médicaux partagés et les applications de suivi des patients.

La sensibilisation des professionnels de santé est un enjeu majeur. L’ANSSI publie des guides pratiques sur la sécurité des systèmes d’information, propose des formations et organise des exercices de simulation de cybercrise. Elle encourage l’intégration de la cybersécurité dans la formation initiale et continue des professionnels de santé. L’objectif est de créer une culture de la cybersécurité qui responsabilise chaque acteur, du directeur d’hôpital au médecin ou au kinésithérapeute en libéral, face aux risques numériques.

2. De la théorie à la pratique : recommandations et outils pour les cabinets de kinésithérapie

Pour les cabinets de kinésithérapie, l’application des recommandations de l’ANSSI se traduit par des mesures concrètes. Il s’agit tout d’abord de sécuriser l’accès aux postes de travail : installation de pare‑feu, mise à jour régulière des systèmes d’exploitation, utilisation de solutions antivirus et suppression des comptes administrateurs inutiles. La gestion des mots de passe doit suivre les règles de complexité et de renouvellement, et l’authentification à double facteur doit être privilégiée pour l’accès aux logiciels métier.

Ensuite, la sauvegarde des données revêt une importance capitale. L’ANSSI préconise la mise en place de sauvegardes régulières, stockées sur des supports chiffrés et distincts du réseau principal. Les kinésithérapeutes doivent tester ces sauvegardes pour s’assurer qu’elles sont opérationnelles en cas de ransomware ou de panne. La protection des données de santé passe aussi par la gestion des droits d’accès et la traçabilité des actions : chaque professionnel doit disposer d’un compte personnel et les accès aux dossiers patients doivent être limités au strict nécessaire.

En matière de communication, il est recommandé d’utiliser des services certifiés pour l’échange d’informations médicales (messageries sécurisées MSSanté) et de se méfier des courriels de phishing. Les cabinets doivent disposer d’une politique de sécurité documentée et d’un plan de réponse aux incidents détaillant les étapes à suivre en cas d’attaque : isolation du système, contact des autorités compétentes (ANSSI, CNIL), information des patients et restauration des services.

La formation du personnel aux gestes de base (détection d’emails frauduleux, verrouillage des sessions, utilisation prudente des clés USB) constitue le premier rempart contre les attaques.

3. Enjeux futurs et participation des kinésithérapeutes à la stratégie nationale

Les défis de la cybersécurité dans le secteur de la santé sont appelés à croître avec l’essor de la télésanté, des objets connectés et de l’intelligence artificielle. Les dispositifs de suivi à domicile, les plateaux techniques connectés et les applications mobiles multiplient les points d’entrée potentiels pour les cyberattaques. L’ANSSI travaille sur des référentiels spécifiques pour l’hébergement en nuage de données de santé et pour la certification des logiciels d’aide à la décision médicale. Elle participe également à des groupes de travail européens pour harmoniser les normes et renforcer la coopération transfrontalière face aux cybermenaces.

Les kinésithérapeutes, au-delà de la mise en œuvre des recommandations, peuvent s’impliquer dans cette stratégie en participant à des programmes de sensibilisation, en signalant les incidents et en partageant les bonnes pratiques au sein de leurs réseaux. Les URPS peuvent relayer les alertes de l’ANSSI. La profession a aussi intérêt à s’inscrire dans des démarches d’innovation en adoptant des solutions sécurisées de télé‑rééducation et en travaillant avec des fournisseurs certifiés SecNumCloud.

À terme, l’évolution des technologies, comme l’utilisation de l’intelligence artificielle pour l’analyse de données de santé ou l’Internet des objets médicaux, nécessitera de nouvelles approches de sécurité. L’ANSSI prépare des lignes directrices pour la cybersécurité des dispositifs médicaux connectés et encourage la mise en œuvre de la « sécurité dès la conception ». Les kinésithérapeutes devront veiller à intégrer ces recommandations dès l’acquisition de nouveaux équipements et à collaborer avec les fabricants pour garantir la conformité.

Conclusion

Dans un contexte de digitalisation croissante de la santé, l’ANSSI joue un rôle central en définissant les normes et en accompagnant les acteurs vers une meilleure sécurité numérique.

La cybersécurité n’est plus une affaire purement technique : elle relève désormais de la déontologie professionnelle et de la protection du patient.

Les kinésithérapeutes, en adoptant les recommandations de l’ANSSI et en s’appuyant sur des ressources de proximité comme le Livret Cyber Santé URPS MK Pays de la Loire, deviennent les premiers acteurs de la sécurité numérique en santé libérale.

La prévention, la formation continue et la coopération entre acteurs demeurent les clés pour bâtir une culture durable de cybersécurité, au service d’un système de soins plus sûr et plus résilient.

Découvrez le guide des bonnes pratiques en sécurité informatique :

pour les kinés : Livret sur la cybersécurité « Tous cyber vigilants ! » – URPS Masseurs-Kinésithérapeutes des Pays de la Loire
Pour l’ensemble des professionnels de santé : Adaptation du livret cyber TOUS CYBERVIGILANTS – URPS Masseurs-Kinésithérapeutes des Pays de la Loire

Actualités

Communiqué de presse : les professionnels de santé libéraux demandent reconnaissance et stabilité

Mémoire étudiant Héléna Rambaud

Mémoire étudiant Dimitri Delport

Intelligence Artificielle et kinésithérapie : 4 leçons clés du guide de la HAS

Fin du support Windows 10 : comment recycler son matériel informatique ?