Positionnement
Les etablissements de sante — hopitaux, cliniques, cabinets medicaux, editeurs de logiciels de sante, assureurs complementaires — traitent des donnees de sante a caractere particulier (DCP sensibles au sens de l’article 9 du RGPD). Ces donnees sont les plus valuees sur les marches criminels et font des structures de sante les cibles n°1 des ransomwares en France depuis 2020. Kapelgy apporte l’audit continu, le chiffrement post-quantique et la conformite HDS / RGPD dans une plateforme sans agent.
Cadre reglementaire sante
RGPD — Donnees de sante (article 9)
Les donnees de sante sont des donnees sensibles au sens du RGPD. Leur traitement exige une base juridique specifique, une DPIA (analyse d’impact), des mesures de securite renforcees et une notification obligatoire a la CNIL en cas de violation. Les amendes peuvent atteindre 4 % du chiffre d’affaires mondial.
HDS — Hebergeur de Donnees de Sante
Tout hebergement de donnees de sante pour le compte d’autrui requiert la certification HDS (decret n°2018-137). Kapelgy heberge ses donnees en France et accompagne ses clients dans la preparation de leur propre conformite HDS.
Espace Numerique de Sante (ENS) et Mon Espace Sante
Les editeurs de logiciels de sante souhaitant s’integrer a l’ENS ou interoperer avec Mon Espace Sante doivent satisfaire aux exigences de securite de l’ANS (Agence du Numerique en Sante). Kapelgy produit les rapports d’audit necessaires.
NIS2 — Entites essentielles secteur sante
Les hopitaux et certains etablissements de sante sont qualifies d’entites essentielles sous NIS2. Ils sont soumis aux obligations de gestion des risques, de notification d’incident et de controle de leurs prestataires.
Menaces specifiques au secteur sante
Ransomware hospitalier — les attaques contre les CHU de Rouen, Dax, Corbeil-Essonnes et Versailles ont demontre la vulnerabilite des systemes d’information hospitaliers. L’indisponibilite du SIH met directement en danger les patients.
Exfiltration de dossiers patients — les dossiers medicaux se vendent entre 150 et 1 000 EUR sur les marches criminels, contre quelques euros pour une carte de paiement. L’exfiltration est souvent silencieuse, sans ransomware.
Attaques sur les dispositifs medicaux connectes — les equipements biomedicaux (IRM, moniteurs, pompes a perfusion) sont souvent peu ou pas patched et constituent des points d’entree sur le reseau hospitalier.
Phishing cible personnel soignant — les equipes soignantes ne sont pas formees a la detection des tentatives de phishing. Une seule compromission de compte de messagerie suffit pour initier une attaque.
Fonctionnalites adaptees au secteur sante
Audit agentless du SIH et des applications metier
Sans installation sur les postes ou serveurs cliniques. Analyse de l’exposition externe du SIH, des portails patients, des applications de telemedicine et des APIs d’interoperabilite (HL7 FHIR, DMP). Score de risque par application.
Chiffrement post-quantique des donnees de sante
CRYSTALS-Kyber-1024 / ML-KEM NIST FIPS 203 applique aux flux de donnees de sante. Protection contre les attaques « harvest now, decrypt later » sur les historiques patients et les communications entre etablissements.
Detection des fuites de donnees personnelles de sante
Scan automatique des applications web et APIs pour detecter les expositions de donnees de sante (numeros de securite sociale, identifiants patients, diagnostics) dans les reponses HTTP, les headers et les messages d’erreur.
Conformite RGPD article 9 — documentation automatisee
Kapelgy genere les elements de preuve necessaires a la DPIA et au registre des traitements : liste des expositions detectees, historique des audits, export structure pour la CNIL en cas de notification de violation.
DPIA assistee par IA
L’IA Analyst de Kapelgy produit une analyse d’impact preliminaire sur la protection des donnees a partir des resultats d’audit. Document en langage naturel, exploitable par le DPO de l’etablissement.
Formation du personnel soignant et administratif
Kapelgy dispense des formations de sensibilisation adaptees aux personnels non-techniques : phishing, gestion des mots de passe, bonnes pratiques sur le materiel medical connecte. Format 1 jour, tous publics, financement OPCO disponible.
Cas d’usage
Hopital public (CHU / CH) — audit agentless du SIH, detection des expositions des portails patients, conformite NIS2 et RGPD, rapport exportable pour la DSI et la direction.
Clinique privee — audit OWASP des applications de prise de rendez-vous et de telemedecine, conformite HDS, formation du personnel administratif.
Editeur de logiciel de sante (LGC, LPS) — audit de securite de la plateforme SaaS, conformite RGPD et exigences ANS pour l’integration a l’ENS, certification ISO 27001.
Cabinet medical ou cabinet de groupe — audit de l’exposition externe, verification de la conformite RGPD du cabinet, sensibilisation des praticiens et du secretariat.
Certifications et referentiels supportes
NIST FIPS 203, CRYSTALS-Kyber-1024, ML-KEM, RGPD (article 9), HDS, NIS2, ISO 27001:2022, ANSSI RGS v2, ANS (Agence du Numerique en Sante), OWASP Top 10.
Certifications en cours d’obtention — certification officielle prévue prochainement.
Contact
Email : kapelgy@gmail.com Telephone : 06 95 48 47 78 Reponse sous 24h — hebergement France — sans engagement