- SUPPORT CLIENT
- CONTACT
- 01 82 52 20 62
- STATUT INFRASTRUCTURE

Une cyberattaque sur un établissement de santé, ce n’est pas seulement une crise informatique. C’est une mise en danger des soins. Déprogrammation d’opérations, inaccessibilité des dossiers patients, paralysie des équipements biomédicaux connectés : les conséquences d’un incident non anticipé peuvent être immédiates et dramatiques.
L’analyse des risques SI est la démarche structurée qui permet à votre établissement d’identifier ses vulnérabilités, d’évaluer les menaces les plus probables et les plus graves, puis de prioriser les actions de protection en fonction de leur impact réel sur votre activité de soins.
gplexpert réalise votre analyse de risques selon les méthodes reconnues par l’ANSSI : de la phase de cadrage jusqu’à l’élaboration du plan de traitement, nous vous accompagnons à chaque étape avec une approche concrète et adaptée au contexte hospitalier.
NOTRE EXPERTISE
VOS BÉNÉFICES
L’analyse des risques SI est une démarche méthodique qui consiste à identifier les actifs critiques d’un SI, les menaces qui pèsent sur eux, les vulnérabilités qui pourraient être exploitées, puis à évaluer chaque risque selon sa vraisemblance et sa gravité pour définir les mesures de protection appropriées.
Dans les établissements de santé, cette démarche présente des enjeux spécifiques : les données de santé sont des données ultra-sensibles, les SIH concentrent des dizaines d’applications critiques interconnectées, et la continuité des soins ne tolère aucune interruption prolongée. Le secteur sanitaire est par ailleurs l’une des cibles les plus visées par les cyberattaquants en France.
Gplexpert s’appuie sur EBIOS Risk Manager, la méthode de référence publiée par l’ANSSI, recommandée dans le cadre du programme CaRE et exigée pour les entités soumises à NIS2. Elle structure l’analyse autour de cinq ateliers progressifs.
Étape 1 – Cadrage de projet
Toute analyse de risques sérieuse commence par un cadrage rigoureux. gplexpert définit avec vous le périmètre exact de l’étude (établissement, GHT, service spécifique, application critique), identifie les parties prenantes à mobiliser (DSI, RSSI, directions métiers, direction générale, DPO) et formalise les objectifs attendus. Cette étape est déterminante : un périmètre mal défini produit une analyse inutilisable.
Nous analysons également votre contexte : missions de l’établissement, organisation, contraintes opérationnelles, documentation existante (audits antérieurs, incidents déclarés, cartographie SI), et niveau de maturité cyber de départ.
Étape 2 – Recensement des risques
Nos experts procèdent à un recensement exhaustif des risques encourus par votre organisation, en s’appuyant sur la cartographie de votre SI, les entretiens avec vos équipes métiers et techniques, et les scénarios de menaces propres au secteur hospitalier.
Nous identifions les biens essentiels (ce que votre établissement doit impérativement protéger : continuité des soins, données patients, disponibilité du DPI…) et les biens supports (les systèmes, applications et infrastructures qui les portent), ainsi que les sources de menaces pertinentes pour votre contexte : cybercriminels, rançongiciels, prestataires malveillants, erreurs humaines, défaillances techniques.
Étape 3 – Évaluation de l’impact et du niveau de criticité
Chaque risque recensé est évalué selon deux axes :
Cette double évaluation produit une matrice de criticité qui hiérarchise vos risques de manière objective et argumentée. Les risques les plus critiques, ceux qui combinent une vraisemblance élevée et un impact grave, sont identifiés comme prioritaires pour le plan de traitement.
Étape 4 – Élaboration du plan de traitement des risques
Sur la base de la matrice de criticité, gplexpert élabore avec vous le Plan de Traitement des Risques (PTR) : pour chaque risque inacceptable, quelles mesures techniques et organisationnelles mettre en place ? Selon quel calendrier ? Pour quel coût estimé ? Avec quelle priorité ?
Le PTR distingue quatre stratégies de traitement :
Le plan de traitement est présenté à votre direction générale pour arbitrage et validation, puis intégré à votre PSSI et votre plan d’investissement sécurité.
L’audit de sécurité évalue l’état technique de vos systèmes à un instant T. L’analyse de risques est une démarche plus large et stratégique : elle part des enjeux métiers de votre établissement, recense et évalue les risques qui pèsent sur eux, et produit un plan d’action priorisé. Les deux sont complémentaires et s’alimentent mutuellement.
Oui, la cartographie est un prérequis indispensable à la phase de recensement des risques. Elle permet d’identifier avec précision les biens supports sur lesquels portera l’analyse. gplexpert peut réaliser les deux missions de manière séquentielle ou simultanée.
L’ANSSI recommande une réévaluation annuelle ou à chaque évolution significative du SI ou du contexte de menace. Dans la pratique, une revue complète tous les deux à trois ans avec des mises à jour intermédiaires est un rythme adapté à la plupart des établissements.
L’analyse de risques n’est pas un exercice purement technique. Elle implique la direction générale, la DSI, le RSSI, les directions métiers (soins, pharmacie, bloc, urgences…) et idéalement le DPO. gplexpert anime les ateliers pour faciliter les échanges entre des profils très différents.
Elle est fortement recommandée et devient progressivement obligatoire pour les entités soumises à NIS2. Pour les établissements candidats au programme CaRE ou en démarche de certification HAS, elle constitue un atout déterminant.