Le Plan de Reprise d’Activité (PRA) est devenu un élément central de la cybersécurité des établissements de santé. Face à la multiplication des cyberattaques, des ransomwares et des pannes majeures, disposer d’un PRA opérationnel est indispensable pour garantir la continuité des soins, la disponibilité des données patients et la conformité réglementaire.
En 2026, les exigences renforcées de la directive NIS2 et de la certification HDS rendent le PRA incontournable pour les hôpitaux, cliniques et établissements médico-sociaux.
Pourquoi le PRA est essentiel pour les établissements de santé ?
Étape 1 : Identifier les systèmes critiques du système d’information de santé
Un incident informatique peut entraîner une indisponibilité totale ou partielle des systèmes d’information hospitaliers : dossiers patients, logiciels métiers, imagerie médicale, outils administratifs.
Sans Plan de Reprise d’Activité, les conséquences peuvent être lourdes :
- interruption de la prise en charge des patients,
- perte d’accès aux données de santé,
- non-respect des obligations NIS2 et HDS,
- atteinte à la réputation de l’établissement.
Le PRA permet d’anticiper ces situations et de définir des procédures de reprise claires et testées.
Étape 2 : Mettre en place des sauvegardes fiables et sécurisées
La mise en place d’un PRA commence par une analyse d’impact métier (BIA). Cette étape consiste à identifier les systèmes essentiels à la continuité des soins.
Il s’agit notamment de :
- dossiers patients informatisés (DPI),
- systèmes d’information médicaux (RIS, PACS),
- infrastructures réseau et hébergement,
- accès distants et outils collaboratifs.
Pour chaque système, il est indispensable de définir :
- le RTO (Recovery Time Objective),
- le RPO (Recovery Point Objective).
Les sauvegardes sont un pilier du PRA en cybersécurité santé, mais elles doivent être adaptées aux menaces actuelles.
Bonnes pratiques recommandées :
- sauvegardes régulières des données critiques,
- protection contre les ransomwares (sauvegardes immuables),
- stockage sécurisé et cloisonné,
- tests de restauration réguliers.
Un PRA sans tests de restauration est inefficace en situation réelle.
Étape 3 : Formaliser des procédures de reprise claires et accessibles
Les procédures du Plan de Reprise d’Activité doivent être compréhensibles et exploitables rapidement, y compris en cas d’indisponibilité du SI.
Elles doivent inclure :
- les scénarios d’incidents cyber (ransomware, panne majeure, indisponibilité hébergeur),
- les étapes de reprise technique,
- les modes de fonctionnement dégradés pour les équipes métiers,
- les responsabilités de chaque acteur (DSI, RSSI, direction).
Étape 4 : Intégrer les obligations NIS2 et HDS dans le PRA
En 2026, le PRA doit être conforme aux exigences réglementaires applicables au secteur de la santé.
La directive NIS2 impose :
- la détection rapide des incidents cyber,
- des délais précis de notification,
- une traçabilité des actions.
La certification HDS exige :
- la disponibilité des données de santé,
- la sécurité des accès pendant les phases de reprise,
- la maîtrise des prestataires impliqués.
Le PRA est donc un outil clé de conformité réglementaire.
Étape 5 : Tester régulièrement le Plan de Reprise d’Activité
Un PRA efficace en 2026 : un processus continu
Tester son PRA est indispensable pour garantir son efficacité.
Les tests permettent de :
- vérifier la capacité réelle de reprise,
- former les équipes à la gestion de crise,
- identifier les axes d’amélioration,
- répondre aux exigences d’audit NIS2 et HDS.
Types de tests recommandés :
- tests techniques de restauration,
- exercices de crise,
- simulations partielles ou complètes.
Un Plan de Reprise d’Activité doit évoluer avec :
- les changements d’infrastructure,
- l’évolution des cybermenaces,
- les nouvelles exigences réglementaires.
Il ne s’agit pas d’un document figé, mais d’un dispositif vivant, au service de la continuité des soins et de la sécurité des patients.