soc-manage.frRecevoir 3 devis →

SECTEUR · SANTÉ

MDR santé : SOC managés HDS pour hôpitaux et éditeurs

7 fournisseurs · 4 référentiels · 6 critères d'achat

La cybersécurité du secteur santé en France ne se résume plus à la protection d'un système d'information de gestion. Depuis l'attaque de Corbeil-Essonnes en 2022, suivie d'une série d'incidents quasi-mensuels visant des centres hospitaliers, des établissements médico-sociaux et des éditeurs métier, le SOC managé est devenu un point de passage obligé pour les directions hospitalières et leurs DSI. Le marché s'est durci avec l'arrivée de NIS2, qui classe la majorité des établissements de santé en entité essentielle, et le renforcement des contrôles ANSSI sur les hébergeurs HDS.

Concrètement, choisir un MDR pour une structure santé revient à empiler trois exigences peu négociables. D'abord, la chaîne complète de traitement des logs doit transiter par un environnement certifié HDS (Hébergement de Données de Santé) — la certification couvre l'hébergement ET l'infogérance, pas seulement le stockage. Ensuite, les centres hospitaliers régionaux et les GHT (Groupements Hospitaliers de Territoire) les plus importants sont classés OIV santé : la qualification PDIS de l'ANSSI s'impose alors pour l'opérateur de détection. Enfin, la surface OT médicale — IoMT, dispositifs connectés en bloc opératoire ou en imagerie — n'est couverte par défaut par presque aucun MDR généraliste : il faut la valider explicitement.

Reste que la pression budgétaire des établissements pousse vers des modèles mutualisés (Pack Cyber Docaposte, marchés CANUT) plutôt que vers les pure-players grands comptes. La sélection ci-dessous distingue les acteurs qui ont fait la preuve d'une opération en environnement santé, des fournisseurs simplement HDS qui n'ont pas encore documenté de référence vérifiable.

01 — RÉFÉRENTIELS

Contexte réglementaire

Certification HDS

Toute infrastructure qui héberge, traite ou supervise des données de santé à caractère personnel doit être hébergée chez un prestataire certifié HDS (référentiel ANS, ex-ASIP). La certification distingue six activités, dont l'infogérance et l'administration — un MDR qui supervise des logs santé doit donc être lui-même HDS ou opérer chez un sous-traitant HDS, et le contrat doit le tracer.

NIS2 entité essentielle

La transposition de NIS2 en droit français (en cours d'application depuis 2025) place la majorité des établissements de santé en entité essentielle. À ce titre, ils sont soumis à des obligations de gestion d'incidents (notification ANSSI sous 24 heures) et à un contrôle de la chaîne de sous-traitance cyber — le MDR est concerné directement.

OIV santé et PDIS

Les CHU, certains GHT et quelques opérateurs de santé sont qualifiés OIV au titre de la Loi de Programmation Militaire. Leur prestataire de détection doit être qualifié PDIS (Prestataire de Détection d'Incidents de Sécurité) par l'ANSSI. À mi-2026, neuf prestataires seulement portent la qualification.

RGPD données de santé

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement par un sous-traitant cyber impose un contrat conforme à l'article 28, une analyse d'impact (AIPD) et, en pratique, un hébergement UE strict — le transit hors UE est un point de blocage récurrent en RFP santé.

02 — GRILLE DE CHOIX

Critères d'achat propres au secteur

  1. 01Certification HDS du prestataire OU sous-traitance documentée chez un hébergeur HDS certifié, avec contractualisation explicite (l'attestation seule ne suffit pas pour la conformité).
  2. 02Qualification PDIS si vous êtes OIV santé (CHU, certains GHT majeurs, opérateurs de santé désignés) — différenciant rare à mi-2026 sur le marché FR.
  3. 03Souveraineté UE stricte du stockage et de l'analyse des logs : pas de transit vers cloud US (CLOUD Act), pas de SOC opéré depuis une juridiction non-adéquate au sens RGPD.
  4. 04Référence santé vérifiable : CH, GHT, ARS, mutuelle, éditeur médico-social. La logique de comportement prime sur le discours commercial.
  5. 05Couverture OT médical (IoMT, dispositifs connectés bloc opératoire / imagerie / biologie) si votre périmètre l'exige — la plupart des MDR généralistes ne la couvrent pas par défaut.
  6. 06Capacité à intervenir dans les DOM-TOM si votre établissement y est implanté — peu d'acteurs couvrent réellement ces zones.

03 — SÉLECTION (7)

Fournisseurs recommandés

01

Exodata

Souverain FR· Saint-Denis (La Réunion)

Hébergeur HDS certifié intervenant dans tous les DOM, rotation authentique multi-pays via France métropolitaine + DOM-TOM + Maurice. VigiSOC packagé PME, claim de non-sortie des données du SI client.

02

Hexanet

Souverain FR· Reims

MSP régional Grand Est avec datacenter propre ISO 27001 + HDS depuis 2020, MDR souverain bout-en-bout (HarfangLab + Sekoia + Logpoint), cible explicite santé/agro/retail. Limite : PASSI annoncée en cours depuis plusieurs cycles.

03

Sigma

Souverain FR· La Chapelle-sur-Erdre

ESN nantaise (entreprise à mission), SOC 100 % France opéré en propre sur QRadar avec 40 analystes sur 5 sites. Ancrage explicite secteur public et santé, SLA de remédiation publiés (30 min plan / 24 h).

04

BLUE

Souverain FR· Châteaubourg

Datacenters propres à Châteaubourg et Nantes certifiés ISO 27001 + HDS, MTTA 15 min publiée, claim « aucune sous-traitance hors zone européenne ». Souveraineté technologique nuancée par l'EDR US imposé.

05

AntemetA

Souverain FR· Guyancourt

Trois datacenters propres (deux Île-de-France + un Lyon) ISO 27001 + HDS, SOC CS2 opéré à Guyancourt depuis 2015 en mode cloud mutualisé/dédié ou on-prem. Bonne option pour clients cherchant un opérateur infogérance + cyber intégré.

06

ITS Group

Souverain FR· Boulogne-Billancourt

ESN française indépendante, offre SOC Trust portée par la filiale ITS Integra, hébergeur HDS et ISO 27001 historique. Stack souveraine Reveelium d'ITrust + ELK, datacenters propres FR Interxion. Absence de qualification ANSSI à signaler.

07

Docaposte Cyber

Souverain FR· Ivry-sur-Seine

Pack Cyber souverain à 20 €/poste/mois ciblant explicitement TPE/PME/ETI/santé, opéré par Formind (PASSI, PDIS en cours), stack HarfangLab + Wallix + Olfeo. Bonne porte d'entrée pour ESMS et petits établissements sous contrainte budgétaire.

04 — EXCLUSIONS

Non recommandés pour ce secteur

Les éditeurs MDR non-souverains (CrowdStrike, SentinelOne, Sophos, Microsoft Defender Experts, Palo Alto Unit 42, Arctic Wolf, Bitdefender) sont volontairement écartés malgré leur maturité : le RGPD santé et la doctrine ANSSI rendent le transit hors UE difficile à justifier en RFP santé. Stoik et Dattak (MDR assurance) ne sont pas adaptés au profil OIV/CH. Capgemini et Eviden ont les références mais une stack par défaut largement US — recevable en GH non-OIV à condition de contractualiser le scope FR. Almond, Advens, Sopra Steria et Orange Cyberdefense sont des candidats légitimes en CHU/GHT OIV mais leurs profils sont mieux couverts dans la page OIV & OSE.

05 — À RETENIR

Conclusion

Le marché santé concentre paradoxalement les fournisseurs les plus disciplinés (HDS, opérations 100 % FR, datacenters tracés) et les plus à risque (PME santé exposées à des attaquants qui industrialisent les rançongiciels). En pratique, la première question à poser en RFP n'est pas le prix par poste, mais la chaîne complète des sous-traitants HDS — y compris l'éventuel CSIRT externalisé. Les fiches individuelles ci-dessous détaillent les périmètres HDS exacts, les qualifications ANSSI vérifiées et les zones d'ombre identifiées (PDIS revendiqué mais non listé, certification HDS expirée, etc.). Notre calculateur de scope vous aide à objectiver le coût attendu pour votre périmètre (nombre de postes, surfaces couvertes, contraintes OT médical).

Vous cherchez un MDR pour le secteur santé ?

Décrivez votre périmètre en 90 secondes. On vous met en relation avec 3 fournisseurs adaptés à vos contraintes (HDS, NIS2, OIV…). Réponse sous 24h ouvrées, indépendant, gratuit.

Recevoir 3 propositions adaptées