CONFORMITÉ · HDS

MDR HDS : SOC managés pour hôpitaux, GHT et éditeurs santé

10 fournisseurs · 5 excellents · 5 articles · 8 critères MDR

L'hébergement de données de santé à caractère personnel (HDS) est encadré en France par l'article L.1111-8 du Code de la santé publique, le décret 2018-137 du 26 février 2018 et le référentiel HDS publié par l'Agence du Numérique en Santé (ANS), aujourd'hui en version 1.1. Le principe est strict : tout hébergement de données de santé pour le compte d'un tiers exige une certification HDS active, délivrée par un organisme accrédité COFRAC sur la base d'un référentiel qui croise ISO 27001, ISO 20000-1, ISO 27018 et des exigences santé spécifiques (anciennement « agrément HADS »).

Le MDR managé n'est pas un « hébergeur HDS » au sens strict — il ne stocke pas les données patients. Mais dès qu'il collecte des journaux, des télémétries EDR ou des évènements SIEM provenant d'un système d'information de santé, il manipule des données qui peuvent être qualifiées « de santé » au sens du RGPD (article 4.15) et du Code de la santé. Trois schémas se rencontrent en pratique : (1) le MDR opère sur la stack du client, déjà hébergée HDS, sans extraire les logs (modèle BYO sans transit) ; (2) le MDR opère depuis son propre hébergement, qui doit alors être HDS-certifié ou un sous-traitant HDS-certifié ; (3) le MDR adresse des artefacts (IoCs, hashes, métadonnées non-personnelles) sans données patients, dans un cadre RGPD acceptable et documenté.

L'autre angle réglementaire critique pour le secteur santé est la circulaire SG/HFDS n° 2022-78 du 1er mars 2022 (« politique de cybersécurité des établissements et services médico-sociaux ») et le Plan blanc cyber. Les centres hospitaliers, GHT, EHPAD et éditeurs de logiciels métiers santé doivent justifier d'une politique de supervision cyber 24/7, avec notification CERT-Santé (ANS) dès qu'un incident affecte la disponibilité ou la confidentialité. Concrètement, le RSSI hospitalier cherche un MDR capable de produire l'évidence de souveraineté (capital, hébergement, analystes), de signer un avenant HDS-compatible, et d'intégrer le canal CERT-Santé.

Un troisième volet à intégrer : la France a renforcé sa stratégie de souveraineté santé après la vague d'attaques 2020-2024 (CHU de Rouen, AP-HP, Versailles, Armentières, Cannes). La doctrine de l'État, portée par la délégation au numérique en santé et l'ANSSI, pousse les acheteurs santé vers des opérateurs cyber 100 % UE. Le RGPD santé (CNIL délibération 2021-159) interdit en pratique le transfert des données de santé hors UE sans garanties spécifiques — ce qui exclut structurellement les MDR américains, sauf cloisonnement contractuel très strict et difficilement défendable face à un contrôle CNIL/ANS.

01 — PÉRIMÈTRE

Qui est concerné ?

Sont concernés tous les établissements de santé publics et privés (CH, CHU, ESPIC, cliniques), groupements hospitaliers de territoire (GHT), éditeurs de logiciels métiers santé (DPI, PACS, biologie, télémédecine), prestataires de télémédecine, organismes de recherche santé, mutuelles et assureurs santé manipulant des données patient, EHPAD/SSIAD/médico-social. Toute entité tierce qui collecte, stocke ou transmet pour leur compte des données de santé à caractère personnel doit être ou recourir à un hébergeur HDS certifié, et opérer dans un cadre RGPD santé strict.

02 — TEXTE LÉGAL

Articles & exigences clés

Article L.1111-8 CSP

Obligation de certification HDS

Toute personne hébergeant des données de santé à caractère personnel pour le compte d'un tiers doit être certifiée HDS. La certification est délivrée par un organisme accrédité COFRAC sur la base du référentiel HDS de l'ANS. Renouvellement triennal avec audit annuel.

Référentiel HDS v1.1

Exigences techniques et organisationnelles

Croise ISO 27001 (SMSI), ISO 20000-1 (gestion de services), ISO 27018 (données personnelles dans le cloud), ISO 27005 (analyse de risque) et exigences santé spécifiques (chiffrement, localisation UE, gestion des accès, traçabilité, plan de réversibilité).

RGPD art. 9 + CNIL délibération 2021-159

Traitement des données de santé

Les données de santé sont des données sensibles. Traitement interdit sauf base légale spécifique. Transfert hors UE encadré par CCT + analyse de risque ; en pratique, la CNIL recommande de privilégier un hébergement UE et une chaîne de sous-traitance UE pour les SI santé.

Circulaire SG/HFDS 2022-78 + Plan blanc cyber

Cybersécurité des ESMS

Tous les établissements de santé et médico-sociaux doivent disposer d'une politique de sécurité, d'un plan de continuité incluant un volet cyber, et d'un dispositif de détection et de réponse aux incidents. Notification CERT-Santé (ANS) sous 24h pour les incidents significatifs.

Loi 2018-493 (RGPD) + Code de la santé publique

Sous-traitance et chaîne de responsabilité

Le responsable de traitement (établissement, éditeur santé) reste responsable des actes de ses sous-traitants. Le contrat avec le MDR doit prévoir : localisation UE, droit d'audit, sous-traitance encadrée, plan de réversibilité, conservation/suppression des journaux.

03 — IMPLICATIONS MDR

Critères MDR qui découlent du référentiel

01Certification HDS active du MDR OU sous-traitance documentée vers un hébergeur HDS certifié OU modèle BYO sans transit des logs santé hors environnement client
02Hébergement et opérations 100 % UE — la chaîne hors UE est en pratique disqualifiante côté CNIL santé, même avec garanties contractuelles
03Analystes basés UE, idéalement FR — le contact d'urgence doit être francophone et le RSSI hospitalier doit pouvoir traiter dans sa langue
04Capacité d'intégrer le canal CERT-Santé (ANS) — workflow de notification testé, format SISO conforme
05Références CH/GHT/éditeurs santé documentées — le secteur santé est petit, les références s'auditent par le bouche-à-oreille RSSI
06Couverture surfaces critiques santé : identité (Active Directory hospitalier), endpoint (postes médicaux, biomed), email (vecteur n°1 attaques santé), serveurs DPI
07Spécialisation OT/biomed si périmètre étendu — IRM, scanners, automates de laboratoire, pousse-seringues : équipements connectés rarement supervisés
08Plan de réversibilité et durée de rétention des logs documentés — les contraintes santé exigent souvent 5 ans à 10 ans selon les actes

04 — SÉLECTION (10)

Fournisseurs éligibles

Excellent· 5

Hexanet

Souverain FR· Reims

MSP régional Grand Est avec datacenter propre ISO 27001 + HDS certifié, bien implanté secteur santé. Stack souveraine HarfangLab + Sekoia + Logpoint, SOC à Reims opéré par analystes salariés FR (« aucune externalisation »). GTI 2h publique, ExpertCyber + ISO 27001. Cible CH/GHT régionaux et éditeurs santé.

Force spécifique → Hébergement HDS propre — le MDR et l'hébergement peuvent être contractualisés avec une seule entité, simplifie la chaîne de responsabilité art. 28 RGPD.

Exodata

Souverain FR· Saint-Denis (La Réunion)

Pure-player ultramarin hébergeur HDS certifié, intervenant dans tous les DOM. rotation authentique multi-pays via France métropole + DOM-TOM + Maurice. VigiSOC packagé PME, claim « données ne quittent jamais vos systèmes ». Cohérence avec les obligations HDS pour les centres hospitaliers ultramarins (CHU Réunion, CH Mayotte, CH Guyane).

Force spécifique → Couverture HDS + cyber pour les territoires d'outre-mer — quasi unique sur le marché FR.

BLUE

Souverain FR· Châteaubourg

Acteur breton, datacenters propres à Châteaubourg et Nantes certifiés ISO 27001 + HDS. SOC breton 24/7, MTTA 15 min publié, claim « aucune sous-traitance hors zone européenne ». Bien positionné pour CH/GHT Grand Ouest et éditeurs santé bretons.

Force spécifique → Hébergement HDS + SOC + ~180 collaborateurs locaux — chaîne courte adaptée aux GHT régionaux.

AntemetA

Souverain FR· Guyancourt

3 datacenters propres (2 IDF + 1 Lyon) certifiés ISO 27001 + HDS. SOC CS2 opéré en propre depuis 2015 à Guyancourt. Activité dominante = cloud/infogérance santé. Mode SOC cloud mutualisé / dédié / on-prem dédié — souplesse adaptée aux CH/GHT avec contraintes d'isolement réseau.

Force spécifique → Maturité historique infogérance hospitalière — comprend les contraintes d'exploitation 24/7 d'un CH.

Docaposte Cyber

Souverain FR· Ivry-sur-Seine

Filiale numérique La Poste, opère le Pack Cyber souverain explicitement positionné secteur santé. Stack 12 partenaires FR/UE (HarfangLab + Wallix + Olfeo + Ubika + Altospam…), MDR opéré par Formind (PASSI, PDIS en cours). Capital public + ancrage Groupe La Poste = chaîne de responsabilité auditable.

Force spécifique → Pack Cyber transparent à 20 €/poste/mois — rare sur le marché FR, lisible pour un CH ou un EHPAD à budget contraint.

Bon· 5

Magellan Sécurité

Souverain FR· Paris

Filiale Magellan Partners, double qualification PASSI post-fusion Akerva 2025. SOC 24/7 multi-technologies, présence reconnue dans les marchés publics santé. À nuancer : stack de détection peu transparente — exiger la liste exacte EDR/SIEM en RFP.

Force spécifique → Profondeur conseil/RFP en santé publique — utile pour un GHT qui structure sa première trajectoire MDR.

Sigma

Souverain FR· La Chapelle-sur-Erdre

ESN historique nantaise (1972), 700 collaborateurs, ancrage fort secteur public et santé. SOC 24/7 opéré équipes FR, 40 analystes sur 5 sites. SLA remédiation publiés (30 min plan / 24h remédiation). Stack hybride QRadar + Sentinel + CrowdStrike — capable d'opérer sur un SI hospitalier hétérogène.

Force spécifique → Entreprise à mission ancrée région ouest — proximité géographique avec une cinquantaine de CH/GHT pertinents.

Linkt

Souverain FR· Mont-Saint-Aignan

SOC souverain 6e Sens opéré 100 % France via Groupe Altitude (familial indépendant). Stack 100 % éditeurs FR (Sekoia + HarfangLab + Gatewatcher). Sélectionné CANUT Lot 4 (établissements publics/parapublics) en sole-source — signal fort secteur public/santé.

Force spécifique → Cumul opérateur télécom B2B + MDR souverain — adapté aux CH/GHT qui veulent un fournisseur unique connectivité + cyber.

OWN.security

Souverain FR· Paris

Pure-player FR souverain, stack 100 % française (HarfangLab + Sekoia.io), 70+ experts. SOC + CERT fusionnés (28 analystes DFIR/CTI). PASSI ANSSI vérifié. Pricing asset-based explicite. Pas d'hébergement HDS propre — modèle BYO/co-managé recommandé pour client HDS.

Force spécifique → Opère le M-CERT (CSIRT national maritime) — preuve d'industrialisation CERT sectoriel sensible, transposable santé.

Advens

Souverain FR· Lille

Triple ANSSI + SOC FR 24/7 + capacité d'action active. Hébergement européen (data centres UE précis à confirmer en RFP). Capacité d'opérer sur stack client HDS-hébergée. Convient aux CHU, AP-HP et grands éditeurs santé qui veulent un acteur ANSSI-complet.

Force spécifique → Plateforme mySOC orchestre HarfangLab + Gatewatcher (éditeurs FR souverains) — alignement avec la doctrine souveraineté santé de l'État.

05 — EXCLUSIONS

Non recommandés pour ce référentiel

Sont exclus de la sélection HDS : (1) tous les MDR non-souverains (CrowdStrike, SentinelOne, Sophos, Microsoft Defender Experts, Palo Alto Unit 42, Arctic Wolf, Bitdefender, Integrity360) — l'analyse de risque RGPD santé + Cloud Act les disqualifie structurellement, sauf cas exceptionnel de cloisonnement contractuel avec validation CNIL ; (2) Eviden, APIXIT et CGI France malgré une présence FR opérationnelle, à cause du tier non-souverain (créanciers internationaux pour Eviden, Bechtle DE pour APIXIT, CGI Canada pour CGI France) qui complexifie la défense face à un contrôle CNIL santé ; (3) les acteurs FR sans hébergement HDS ni partenariat HDS clair — c'est notamment le cas de Stoik (stack EDR US imposée et opacité hébergement), Dattak (modèle assurance-driven incompatible avec une chaîne santé), Dataxium (stack Microsoft + structure trop légère pour absorber un incident santé). Pour le médico-social et les EHPAD à budget réduit, certains pure-players FR (Cyna, Devensys via canal MSP) peuvent être étudiés mais avec une attention particulière sur la chaîne HDS, qui doit alors être assurée par un hébergeur tiers HDS du client.

06 — RFP

Questions à poser au fournisseur

☐Êtes-vous certifié HDS ? Numéro de certificat, OCA, périmètre exact, date d'expiration ? Ou : votre hébergement repose-t-il sur un sous-traitant HDS ? Lequel ?
☐Vos analystes sont-ils tous basés en UE, idéalement en France ? Y a-t-il un contact d'urgence francophone 24/7 ?
☐Quel est votre canal de notification CERT-Santé (ANS) ? Y a-t-il un workflow testé pour un incident hôpital ?
☐Pouvez-vous fournir 2-3 références CH/GHT/éditeur santé ? Tailles, durée de la relation, type d'incident géré ?
☐Quelle est votre couverture biomed/OT médical (IRM, automates labo, pousse-seringues, PACS) ? Spécifique ou générique ?
☐Quelle est la durée de rétention contractuelle des logs traités ? Format d'export ? Conservation après fin de contrat ?
☐Vos données et nos logs traversent-ils des entités hors UE (sous-traitance, support, rotation mondiale) ? Si oui, quelles garanties RGPD santé ?
☐Acceptez-vous d'être audité conjointement par notre RSSI et par l'ANS en cas de contrôle ?

07 — À RETENIR

Conclusion

Le marché MDR santé français est dominé par les acteurs régionaux à hébergement HDS propre (Hexanet, BLUE, AntemetA, Exodata pour les DOM) et par les ESN à ancrage secteur public fort (Sopra Steria, Sigma, Docaposte Cyber). Les pure-players FR souverains (Advens, OWN.security, Formind via Docaposte) peuvent intervenir en BYO sur stack client déjà HDS. La règle pratique : si vous êtes un CH/GHT régional, démarrez par les MDR régionaux hébergeurs HDS — la proximité géographique, la chaîne contractuelle courte et la connaissance du tissu local pèsent lourd. Si vous êtes un CHU, l'AP-HP, un grand éditeur santé ou un assureur santé national, regardez les ANSSI-complets (Sopra Steria, Orange Cyberdefense, Advens) qui adressent aussi votre exigence souveraineté + DPO + ANS. Le mauvais réflexe à éviter : raisonner d'abord en EDR ou SIEM, et seulement après en chaîne HDS — la séquence inverse est plus prudente sous RGPD santé.

MDR conforme HDS : trouver le bon fournisseur

On vous met en relation avec 3 fournisseurs vraiment éligibles HDS (pas juste « compatible » sur le papier). Réponse sous 24h ouvrées, indépendant, gratuit.

Recevoir 3 propositions adaptées →