← Blog/19 avril 202612 min de lecture

Pentest healthtech 2026 : HDS, PGSSI-S et Ségur

Q: Quelle différence entre pentest healthtech et pentest SaaS classique ?

Trois différences majeures : (1) le scope couvre des API spécifiques santé (Pro Santé Connect, INS, DMP/Mon Espace Santé, messageries MSSanté) absentes d'un SaaS classique. (2) L'impact juridique d'une fuite est maximal : une violation de données de santé déclenche l'article 33 RGPD mais aussi potentiellement un signalement ANSSI/CERT Santé, un arrêt Ségur, et des sanctions CNIL amplifiées (données de santé = catégorie particulière RGPD). (3) Le pentester doit maîtriser la sémantique métier (DMP, INS, NIR, CPS, DMR) pour tester réellement la logique d'accès aux données patient.

Q: Un dispositif médical logiciel doit-il être pentesté ?

Oui. Le règlement européen MDR 2017/745 (dispositifs médicaux) et IVDR 2017/746 (diagnostic in vitro) imposent au fabricant d'appliquer les bonnes pratiques de cybersécurité, notamment le guide FD S99-135 AFNOR et le guidance MDCG 2019-16 (Rev.1) de la Commission européenne. La norme IEC 81001-5-1:2021 (safety and security for health software) est désormais alignée sur MDR. Un pentest et une revue de threat modeling sont attendus en documentation technique pour le marquage CE d'un DM logiciel de classe IIa ou supérieure. En France, l'ANSM peut demander le rapport à tout moment.

Q: Combien coûte un pentest healthtech ?

Pour une healthtech seed (app + back-office + 1 intégration DMP ou MSSanté) : 6 000 à 14 000 € HT. Pour une plateforme référencée Ségur (multi-couloirs, Pro Santé Connect, INS, messagerie sécurisée) : 15 000 à 35 000 € HT. Pour un éditeur de logiciel hospitalier (SIH, DPI, PACS) : 25 000 à 70 000 € HT. Le pentest de certification HDS d'un infogéreur inclut souvent un volet infrastructure (cloud, conteneurs) qui porte le budget à 20 000-50 000 €. La preuve d'audit régulier est une dépense récurrente : 1 mission /an à minima.

Les healthtechs, éditeurs de logiciels santé et hébergeurs de données de santé font face à un cadre de sécurité unique : certification HDS, référentiel PGSSI-S de l'ANS, exigences Ségur du numérique en santé et, pour les dispositifs médicaux logiciels, règlement MDR. Ce guide détaille le scope pentest, les exigences réglementaires et les budgets typiques.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·12 min de lecture·Fondateurs·LinkedIn

HDS, PGSSI-S, Ségur : qui impose quoi ?

Trois cadres réglementaires se superposent pour une healthtech française :

Certification HDS (Hébergeur de Données de Santé) — encadrée par l'article L1111-8 du Code de la santé publique. Référentiel HDS v1.1 publié par l'ANS. Audit par un organisme certificateur accrédité COFRAC (LNE, AFNOR Cert, Bureau Veritas, SGS, etc.). Le pentest est exigé pour la certification.
PGSSI-S — politique générale de sécurité des SI de santé, opérée par l'ANS. Référentiels techniques : authentification Pro Santé Connect / carte CPS, imputabilité, référentiels d'identification (INS, NIR), règles de chiffrement, traçabilité des accès.
Ségur du numérique en santé — programme de financement par la délégation ministérielle du numérique en santé. Référencement via des DSR par couloir d'activité (ville, biologie, radiologie, hôpital, EHPAD, officine). Chaque DSR inclut des exigences sécurité renvoyant au PGSSI-S.

À cela s'ajoutent, selon votre produit : RGPD (données de santé = catégorie particulière, art. 9 RGPD), NIS2 si vous fournissez un service essentiel/important à un OSE ou OIV santé, et règlement MDR/IVDR si votre logiciel a une finalité médicale.

Scope typique d'un pentest healthtech

Le périmètre typique d'un pentest pour une healthtech française couvre :

Application métier — portail professionnel de santé (médecin, infirmier, pharmacien) et/ou portail patient. Tests OWASP WSTG, gestion des sessions, séparation stricte des environnements pro/patient.
Authentification Pro Santé Connect — flux OIDC/SAML avec l'IdP ANS, gestion carte CPS, tokens, claims (profession exercée, mode d'exercice, structure de rattachement). Tests : replay, token leakage, mauvaise validation de claims, session fixation.
API INS (Identifiant National de Santé) — téléservice d'identito-vigilance. Tests : gestion des identités provisoires, matching INS, fuites d'INS dans les logs, contrôle d'accès sur lecture/écriture.
Intégration DMP / Mon Espace Santé — API DMP LPS et ALD. Tests : périmètre autorisé par patient, respect du masquage des documents par le patient, bon usage de l'autorisation d'accès en urgence (« bris de glace »).
Messagerie sécurisée MSSanté — envoi/réception de messages et pièces jointes. Tests : chiffrement S/MIME si utilisé, séparation annuaire pro vs patient, prévention de fuite inter-patients.
Back-office & administration — gestion des comptes professionnels, purges, exports, supervision. Tests d'escalade horizontale et verticale, revue des rôles (médecin, secrétaire, admin structure, admin plateforme).
Infrastructure HDS — si vous êtes vous-même hébergeur ou infogéreur HDS : revue du cloud (IAM, KMS, logs, bastion), conformité de l'environnement d'hébergement à la certification.

Top 5 vulnérabilités trouvées en pentest healthtech

IDOR sur dossier patient — manipulation d'un identifiant patient (INS, ID interne) pour accéder au dossier d'un autre patient. Trouvée dans ~40% des missions healthtech. Critique : violation de secret médical, sanctions CNIL aggravées.
Mauvaise validation du claim « profession exercée » Pro Santé Connect — un utilisateur authentifié en tant que kinésithérapeute peut accéder à des données réservées aux médecins parce que l'application ne vérifie pas la valeur du claim au-delà du fait qu'il est signé.
Fuite d'INS ou de NIR dans les logs, URLs ou messages d'erreur — exposition en clair dans l'APM, les exports CSV, les traces Sentry, ou même dans les URL GET. Écart flagrant PGSSI-S.
Bris de glace mal tracé — accès d'urgence activable sans motif obligatoire, sans horodatage immuable, sans notification au patient ni supervision. Non-conformité DMP ANS.
Téléconsultation ou téléexpertise sans cloisonnement strict — pièces jointes partagées entre sessions, persistance de vidéo ou chat dans un stockage non-HDS, métadonnées non purgées.

Budget pentest healthtech : fourchettes marché 2026

Stade / produit	Budget HT
Healthtech seed (app + 1 intégration DMP ou MSSanté)	6 000 – 14 000 €
Plateforme référencée Ségur (multi-couloirs)	15 000 – 35 000 €
Éditeur SIH / DPI / PACS (hôpital, clinique)	25 000 – 70 000 €
Pentest HDS (volet application + infra cloud)	20 000 – 50 000 €
DM logiciel classe IIa+ (MDR, IEC 81001-5-1)	15 000 – 45 000 €

Fourchettes observées sur le marché français pour pentest manuel par pentester confirmé / senior. Un pentest annuel est attendu par les auditeurs HDS et par les DSR Ségur. Les missions hospitalières (SIH, DPI) impliquent souvent une phase d'intégration avec la DSI et un volet tests en environnement de qualification. Chez Laucked, chaque mission healthtech est dimensionnée sur devis après atelier de cadrage HDS / PGSSI-S / Ségur — demander un devis.

Livrables attendus par un auditeur HDS ou un référenceur Ségur

Rapport de pentest daté de moins de 12 mois, exécutif + technique, avec méthodologie et périmètre clairement décrits.
Liste des vulnérabilités notées CVSS (v3.1 ou v4.0), avec preuves d'exploitation (captures, requêtes HTTP), impact et recommandation.
Plan de remédiation daté, avec responsables et dates de correction.
Attestation de re-test (ou rapport de re-test) prouvant que les vulnérabilités critiques et élevées ont été corrigées.
CV du pentester (certifications type OSCP, CEH, PASSI si mission RGS, expérience santé).
Mention de l'indépendance du prestataire (ni fournisseur d'une solution de sécurité exploitée sur le scope, ni développeur du logiciel testé).

FAQ — Pentest healthtech

Ma healthtech doit-elle être certifiée HDS ?

Oui si vous hébergez des données de santé à caractère personnel pour le compte d'un professionnel de santé, d'un établissement ou d'un patient. L'article L1111-8 du Code de la santé publique impose la certification HDS (Hébergeur de Données de Santé) délivrée par un organisme accrédité COFRAC. La certification couvre deux périmètres : HDS « infrastructure » (IaaS) et HDS « infogérance » (PaaS/SaaS). Si vous êtes SaaS santé et utilisez AWS/OVH/Azure, votre hébergeur doit être certifié et vous-même si vous faites de l'infogérance ou si vous assumez la responsabilité de l'hébergement. Un pentest est explicitement exigé pour la certification (référentiel HDS v1.1, exigence 6.11).

Qu'est-ce que le PGSSI-S et faut-il s'y conformer ?

Le PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) est le corpus de référentiels publié par l'ANS (Agence du Numérique en Santé, ex-ASIP Santé). Il impose des règles techniques : authentification forte des professionnels (Pro Santé Connect / carte CPS), imputabilité, chiffrement TLS, traçabilité, gestion des comptes, intégrité des flux. Pour les éditeurs référencés Ségur ou voulant s'interfacer à Mon Espace Santé, la conformité PGSSI-S n'est plus optionnelle. Un pentest vérifie que ces règles sont effectivement implémentées côté application.

Le référencement Ségur impose-t-il un pentest ?

Le Ségur du numérique en santé (vague 1 et vague 2) impose des exigences de sécurité documentées dans les DSR (Dossiers de Spécifications de Référencement) propres à chaque couloir : médecin de ville, biologie, radiologie, hôpital, EHPAD, officine. Ces exigences renvoient au PGSSI-S et, selon le couloir, à des tests de sécurité intrusifs. Dans la pratique, un rapport de pentest récent (< 12 mois) est demandé en pièce au dossier de référencement et en audit de contrôle post-référencement par l'ANS.

Quelle différence entre pentest healthtech et pentest SaaS classique ?

Trois différences majeures : (1) le scope couvre des API spécifiques santé (Pro Santé Connect, INS, DMP/Mon Espace Santé, messageries MSSanté) absentes d'un SaaS classique. (2) L'impact juridique d'une fuite est maximal : une violation de données de santé déclenche l'article 33 RGPD mais aussi potentiellement un signalement ANSSI/CERT Santé, un arrêt Ségur, et des sanctions CNIL amplifiées (données de santé = catégorie particulière RGPD). (3) Le pentester doit maîtriser la sémantique métier (DMP, INS, NIR, CPS, DMR) pour tester réellement la logique d'accès aux données patient.

Un dispositif médical logiciel doit-il être pentesté ?

Oui. Le règlement européen MDR 2017/745 (dispositifs médicaux) et IVDR 2017/746 (diagnostic in vitro) imposent au fabricant d'appliquer les bonnes pratiques de cybersécurité, notamment le guide FD S99-135 AFNOR et le guidance MDCG 2019-16 (Rev.1) de la Commission européenne. La norme IEC 81001-5-1:2021 (safety and security for health software) est désormais alignée sur MDR. Un pentest et une revue de threat modeling sont attendus en documentation technique pour le marquage CE d'un DM logiciel de classe IIa ou supérieure. En France, l'ANSM peut demander le rapport à tout moment.

Combien coûte un pentest healthtech ?

Pour une healthtech seed (app + back-office + 1 intégration DMP ou MSSanté) : 6 000 à 14 000 € HT. Pour une plateforme référencée Ségur (multi-couloirs, Pro Santé Connect, INS, messagerie sécurisée) : 15 000 à 35 000 € HT. Pour un éditeur de logiciel hospitalier (SIH, DPI, PACS) : 25 000 à 70 000 € HT. Le pentest de certification HDS d'un infogéreur inclut souvent un volet infrastructure (cloud, conteneurs) qui porte le budget à 20 000-50 000 €. La preuve d'audit régulier est une dépense récurrente : 1 mission /an à minima.

Pentest healthtech HDS & Ségur-ready

Rapport conforme aux attentes HDS, PGSSI-S et référencement Ségur, livré sous 5 à 15 jours selon périmètre. Méthodologie documentée, re-test inclus.

Demander un devis pentest healthtech

Pentest healthtech 2026 : HDS, PGSSI-S et Ségur

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·12 min de lecture·Fondateurs·LinkedIn

HDS, PGSSI-S, Ségur : qui impose quoi ?

Trois cadres réglementaires se superposent pour une healthtech française :

Certification HDS (Hébergeur de Données de Santé) — encadrée par l'article L1111-8 du Code de la santé publique. Référentiel HDS v1.1 publié par l'ANS. Audit par un organisme certificateur accrédité COFRAC (LNE, AFNOR Cert, Bureau Veritas, SGS, etc.). Le pentest est exigé pour la certification.
PGSSI-S — politique générale de sécurité des SI de santé, opérée par l'ANS. Référentiels techniques : authentification Pro Santé Connect / carte CPS, imputabilité, référentiels d'identification (INS, NIR), règles de chiffrement, traçabilité des accès.
Ségur du numérique en santé — programme de financement par la délégation ministérielle du numérique en santé. Référencement via des DSR par couloir d'activité (ville, biologie, radiologie, hôpital, EHPAD, officine). Chaque DSR inclut des exigences sécurité renvoyant au PGSSI-S.

Scope typique d'un pentest healthtech

Le périmètre typique d'un pentest pour une healthtech française couvre :

Application métier — portail professionnel de santé (médecin, infirmier, pharmacien) et/ou portail patient. Tests OWASP WSTG, gestion des sessions, séparation stricte des environnements pro/patient.
Authentification Pro Santé Connect — flux OIDC/SAML avec l'IdP ANS, gestion carte CPS, tokens, claims (profession exercée, mode d'exercice, structure de rattachement). Tests : replay, token leakage, mauvaise validation de claims, session fixation.
API INS (Identifiant National de Santé) — téléservice d'identito-vigilance. Tests : gestion des identités provisoires, matching INS, fuites d'INS dans les logs, contrôle d'accès sur lecture/écriture.
Intégration DMP / Mon Espace Santé — API DMP LPS et ALD. Tests : périmètre autorisé par patient, respect du masquage des documents par le patient, bon usage de l'autorisation d'accès en urgence (« bris de glace »).
Messagerie sécurisée MSSanté — envoi/réception de messages et pièces jointes. Tests : chiffrement S/MIME si utilisé, séparation annuaire pro vs patient, prévention de fuite inter-patients.
Back-office & administration — gestion des comptes professionnels, purges, exports, supervision. Tests d'escalade horizontale et verticale, revue des rôles (médecin, secrétaire, admin structure, admin plateforme).
Infrastructure HDS — si vous êtes vous-même hébergeur ou infogéreur HDS : revue du cloud (IAM, KMS, logs, bastion), conformité de l'environnement d'hébergement à la certification.

Top 5 vulnérabilités trouvées en pentest healthtech

IDOR sur dossier patient — manipulation d'un identifiant patient (INS, ID interne) pour accéder au dossier d'un autre patient. Trouvée dans ~40% des missions healthtech. Critique : violation de secret médical, sanctions CNIL aggravées.
Mauvaise validation du claim « profession exercée » Pro Santé Connect — un utilisateur authentifié en tant que kinésithérapeute peut accéder à des données réservées aux médecins parce que l'application ne vérifie pas la valeur du claim au-delà du fait qu'il est signé.
Fuite d'INS ou de NIR dans les logs, URLs ou messages d'erreur — exposition en clair dans l'APM, les exports CSV, les traces Sentry, ou même dans les URL GET. Écart flagrant PGSSI-S.
Bris de glace mal tracé — accès d'urgence activable sans motif obligatoire, sans horodatage immuable, sans notification au patient ni supervision. Non-conformité DMP ANS.
Téléconsultation ou téléexpertise sans cloisonnement strict — pièces jointes partagées entre sessions, persistance de vidéo ou chat dans un stockage non-HDS, métadonnées non purgées.

Budget pentest healthtech : fourchettes marché 2026

Stade / produit	Budget HT
Healthtech seed (app + 1 intégration DMP ou MSSanté)	6 000 – 14 000 €
Plateforme référencée Ségur (multi-couloirs)	15 000 – 35 000 €
Éditeur SIH / DPI / PACS (hôpital, clinique)	25 000 – 70 000 €
Pentest HDS (volet application + infra cloud)	20 000 – 50 000 €
DM logiciel classe IIa+ (MDR, IEC 81001-5-1)	15 000 – 45 000 €

Livrables attendus par un auditeur HDS ou un référenceur Ségur

Rapport de pentest daté de moins de 12 mois, exécutif + technique, avec méthodologie et périmètre clairement décrits.
Liste des vulnérabilités notées CVSS (v3.1 ou v4.0), avec preuves d'exploitation (captures, requêtes HTTP), impact et recommandation.
Plan de remédiation daté, avec responsables et dates de correction.
Attestation de re-test (ou rapport de re-test) prouvant que les vulnérabilités critiques et élevées ont été corrigées.
CV du pentester (certifications type OSCP, CEH, PASSI si mission RGS, expérience santé).
Mention de l'indépendance du prestataire (ni fournisseur d'une solution de sécurité exploitée sur le scope, ni développeur du logiciel testé).

FAQ — Pentest healthtech

Ma healthtech doit-elle être certifiée HDS ?

Qu'est-ce que le PGSSI-S et faut-il s'y conformer ?

Le référencement Ségur impose-t-il un pentest ?

Quelle différence entre pentest healthtech et pentest SaaS classique ?

Un dispositif médical logiciel doit-il être pentesté ?

Combien coûte un pentest healthtech ?

Pentest healthtech 2026 : HDS, PGSSI-S et Ségur

HDS, PGSSI-S, Ségur : qui impose quoi ?

Scope typique d'un pentest healthtech

Top 5 vulnérabilités trouvées en pentest healthtech

Budget pentest healthtech : fourchettes marché 2026

Livrables attendus par un auditeur HDS ou un référenceur Ségur

FAQ — Pentest healthtech

Articles liés

Pentest healthtech HDS & Ségur-ready

Pentest healthtech 2026 : HDS, PGSSI-S et Ségur

HDS, PGSSI-S, Ségur : qui impose quoi ?

Scope typique d'un pentest healthtech

Top 5 vulnérabilités trouvées en pentest healthtech

Budget pentest healthtech : fourchettes marché 2026

Livrables attendus par un auditeur HDS ou un référenceur Ségur

FAQ — Pentest healthtech

Articles liés

Pentest healthtech HDS & Ségur-ready