Groupe Vitalys — Présentation de l'Entreprise
Réseau de soins régional · Hôpitaux · Cliniques · Laboratoires · 3 200 agents
Activité & Sensibilité des Données
Le Groupe Vitalys est un réseau de soins régional privé implanté dans le Grand Ouest, regroupant 3 établissements hospitaliers, 5 cliniques spécialisées, 12 laboratoires d'analyses médicales et un service de télémédecine. Avec 3 200 agents de santé et 280 000 patients suivis annuellement, Vitalys traite quotidiennement des données de santé hautement sensibles (DMP, résultats biologiques, imagerie médicale) soumises à la réglementation HDS (Hébergement de Données de Santé).
En tant qu'établissement de santé de taille significative, Vitalys est classifié Opérateur de Services Essentiels (OSE) au titre de la directive NIS2, ce qui implique des obligations renforcées de sécurité des systèmes d'information et de notification des incidents à l'ANSSI.
Contexte de Crise & Enjeux
En mars 2024, Vitalys a été victime d'une attaque par ransomware (LockBit 3.0) ayant chiffré 60% des serveurs de production, paralysé le système d'information hospitalier (SIH) pendant 11 jours, et entraîné le report de 4 200 actes médicaux. La rançon demandée était de 3,2 M€. L'ANSSI a été notifiée. Le bilan forensique a révélé une intrusion initiale via un compte VPN sans MFA, il y a 47 jours avant le déclenchement du ransomware.
Le Directeur Général a décidé d'investir 480 000 €/an pour constituer une équipe Cyber & Cloud interne dédiée, reconstruire l'infrastructure sur un cloud souverain certifié HDS, et atteindre la certification ISO 27001 d'ici 24 mois. Vous êtes recruté comme RSSI / Chef de projet pour mener ce programme.
Votre Mission
Vous êtes recruté comme RSSI et chef du programme Cyber & Cloud de Vitalys. Votre mission est de constituer, organiser et piloter l'équipe technique Cyber & Cloud chargée de : reconstruire l'infrastructure sur un cloud souverain certifié HDS, déployer les solutions de sécurité manquantes (EDR, SIEM, SOC, IAM), et conduire Vitalys vers la certification ISO 27001. Vous démarrez avec 2 personnes IT sans profil sécurité, zéro documentation de sécurité, et une organisation sous le choc de l'attaque ransomware.
Conséquences de l'attaque & Situation initiale
🔴 Infrastructure compromise
60% des serveurs chiffrés. SIH (DxCare) inaccessible 11 jours. Sauvegardes partiellement détruites. Aucun EDR ni SIEM en place au moment de l'attaque.
🔴 Équipe IT sous-dimensionnée
2 administrateurs système polyvalents. Aucune compétence en cybersécurité, Cloud, ou gestion des incidents. Surcharge opérationnelle depuis l'attaque.
🔴 Données de santé exposées
Exfiltration probable de données patients avant chiffrement. Obligation de notification à la CNIL sous 72h (RGPD Art. 33). Risque de sanction HDS.
🟡 Conformité NIS2 non assurée
En tant qu'OSE, Vitalys doit notifier les incidents significatifs à l'ANSSI sous 24h. Le processus de notification n'existait pas. Risque d'amende NIS2.
🟡 Infrastructure legacy exposée
Serveurs Windows 2012 non patchés, VPN sans MFA, AD non durci, accès RDP directs depuis Internet. Vecteurs d'attaque non corrigés post-incident.
Référentiels de conformité à atteindre
Situation initiale
🚨 Équipe IT actuelle
2 administrateurs système polyvalents, dépassés par la crise. Aucune compétence en cybersécurité, architecture cloud, gestion SOC ou réponse aux incidents.
🔒 Zéro documentation sécurité
Pas de PSSI, pas de cartographie des actifs, pas de procédures d'incident. Aucune baseline de sécurité définie. Infrastructure à reconstruire from scratch.
💰 Budget RH
480 000 €/an disponibles pour l'équipe Cyber & Cloud. Inclut salaires CDI, prestataires MSSP (SOC managé éventuel), charges patronales.
⏱️ Durée
24 mois pour reconstruire l'infrastructure cloud, déployer le SOC, obtenir ISO 27001 et assurer la conformité NIS2 et HDS.
⚠️ Traumatisme post-incident
Le personnel soignant a été fortement impacté. La direction médicale est méfiante vis-à-vis de l'IT. La gestion humaine et la restauration de confiance sont des enjeux majeurs.
Équipe Cyber & Cloud cible à constituer
- Intégration des 2 administrateurs IT existants dans la nouvelle organisation, avec requalification progressive vers des profils sécurité
- Mix interne / MSSP externe : certains services (SOC 24/7, threat intel) peuvent être externalisés à un MSSP en attendant la montée en compétences interne
- Habilitation et confidentialité : les membres de l'équipe traitent des données de santé — clause de confidentialité renforcée et sensibilisation RGPD obligatoires
- Astreinte et continuité : le SOC doit être opérationnel 24h/24 — définir la politique d'astreinte et de rotation conforme au droit du travail
Livrables & Consignes Précises
-
1Listez l'ensemble des compétences techniques Cyber & Cloud nécessaires au programme Vitalys : sécurité offensive/défensive, Cloud souverain (OVHcloud, Outscale), IAM/PAM, SIEM/SOAR, forensique numérique, gestion de conformité (ISO 27001, NIS2, HDS). Pour chaque compétence, précisez le niveau requis (1 = notions → 4 = expert) et son urgence (immédiate vs progressive) selon les priorités post-incident.
-
2Identifiez les compétences comportementales critiques (soft skills) pour une équipe opérant dans un contexte de crise post-ransomware : gestion du stress et des situations d'urgence, communication avec les équipes médicales non-techniques, pédagogie pour former le personnel soignant aux bons réflexes cyber, capacité à travailler en astreinte. Précisez lesquelles sont discriminantes pour le poste de RSSI.
-
3Réalisez l'analyse des gaps des 2 administrateurs IT existants : évaluez leur niveau actuel sur les compétences clés Cyber & Cloud et identifiez l'écart avec les besoins du programme. Pour chacun, proposez un profil de reconversion réaliste : vers quel rôle Cyber peuvent-ils évoluer compte tenu de leur socle technique actuel (administration système, réseau) ?
-
4Présentez la cartographie sous forme de matrice visuelle (rôles × compétences avec niveaux et criticité). Justifiez pourquoi les compétences IAM/PAM et Incident Response sont classifiées critiques priorité 1 au vu des vecteurs d'attaque identifiés lors du ransomware (VPN sans MFA, AD non durci, absence de détection).
-
1Rédigez au moins 3 fiches de poste complètes pour des profils Cyber & Cloud (au choix parmi les 9 rôles cibles) : intitulé du poste, missions principales adaptées au contexte santé/HDS, compétences techniques requises (outils, certifications), soft skills, expérience minimale, type de contrat et fourchette salariale. Pour au moins une fiche, précisez les contraintes spécifiques au secteur de la santé (accès à des données HDS, clause de confidentialité, obligation de formation RGPD).
-
2Justifiez votre stratégie CDI vs MSSP (Managed Security Service Provider) : quels rôles internalisez-vous (compétences critiques et pérennes pour Vitalys) et quels services pouvez-vous externaliser temporairement à un MSSP (SOC 24/7, threat intelligence) ? Appuyez-vous sur des critères clairs : délai de disponibilité, coût, confidentialité des données de santé, dépendance fournisseur.
-
3Proposez un planning de recrutement d'urgence sur 4 mois (M0 à M4) en priorisant les Quick Wins sécurité : qui recruter en premier pour stopper les vecteurs d'attaque identifiés ? Indiquez les canaux de sourcing adaptés aux profils cyber (LinkedIn CyberSec, CLUSIF, AFCDP, plateformes spécialisées CyberJobSearc, contacts ANSSI, ESN spécialisées).
-
4Construisez le tableau de répartition budgétaire : détaillez pour chaque poste le coût annuel (salaire chargé ou coût MSSP) et vérifiez l'enveloppe de 480 000 €/an. Intégrez les charges patronales (~45%) pour les CDI et estimez le coût d'un SOC-as-a-Service si vous externalisez partiellement la surveillance 24/7.
Les profils Cyber sont en pénurie structurelle en France (déficit estimé à 15 000 postes). Un SOC Analyst L2 expérimenté peut demander 50 à 65 k€ bruts. Votre plan de recrutement doit intégrer cette réalité et prévoir des délais de 3 à 6 mois pour les profils spécialisés (DFIR, Cloud Security). Proposez des alternatives si le recrutement dépasse les délais (MSSP, interim cybersécurité, stagiaires ESIEA/INSA encadrés).
-
1Dessinez l'organigramme de l'équipe Cyber & Cloud en faisant apparaître : la ligne hiérarchique (RSSI → Cloud Architect, SOC Manager, GRC Officer → analystes), les liens fonctionnels avec la Direction Médicale, la DSI, la DPO, la Direction Générale, et les prestataires externes (MSSP, ANSSI, CNIL). Positionnez les 2 administrateurs IT existants dans cette nouvelle structure en valorisant leur expertise legacy.
-
2Décrivez les responsabilités de chaque rôle (3 à 5 bullet points par poste) en distinguant : responsabilités opérationnelles quotidiennes (surveillance SOC, gestion des vulnérabilités), responsabilités de reporting (tableau de bord RSSI, rapport NIS2, suivi ISO 27001), et responsabilités de décision (autoriser ou bloquer un accès, escalader un incident P1 à la Direction).
-
3Construisez une matrice RACI Sécurité couvrant au minimum 8 activités clés : réponse à un incident de sécurité P1, gestion d'une vulnérabilité critique (CVSS ≥ 9), notification NIS2 à l'ANSSI, audit ISO 27001, patch management, gestion des accès à la plateforme HDS, déploiement d'un nouveau service Cloud, formation du personnel soignant aux cyber-risques. Respectez la règle : un seul Accountable par activité.
-
4Analysez 2 risques organisationnels spécifiques au contexte santé (ex : tension entre urgence médicale et contrainte de sécurité — un médecin qui contourne le SSO pour accéder à un DMP en urgence ; dépendance à un MSSP unique pour le SOC 24/7) et proposez une mesure de mitigation pour chacun qui respecte à la fois les contraintes de sécurité et les impératifs de continuité des soins.
R = réalise · A = décide et rend compte · C = consulté · I = informé. En cybersécurité, l'Accountable d'un incident P1 doit être clairement défini en amont — le flou décisionnel lors d'une attaque coûte des heures critiques. Un seul A par ligne, sans exception.
-
1Décrivez le cadre opérationnel du SOC : quelles réunions structurent la semaine d'un analyste SOC (Daily Triage — revue des alertes, Weekly Threat Brief — briefing menaces secteur santé, Monthly War Game — simulation d'incident) ? Comment organisez-vous les rotations d'astreinte 24/7 entre les 2 analystes (+ MSSP si externalisé) tout en respectant les 11h de repos obligatoires ? Comment les alertes sont-elles escaladées de nuit vers l'Incident Responder ?
-
2Listez et justifiez les outils Cyber & Cloud retenus pour chaque usage : SIEM (Microsoft Sentinel, Splunk, IBM QRadar — comparez 2 options), EDR (CrowdStrike, SentinelOne, Sophos Intercept X), PAM (CyberArk, Thales Safeguard — obligatoire HDS), SOAR pour l'automatisation de la réponse, plateforme CTI (MISP open-source vs TIP payant), et outil GRC pour le suivi ISO 27001. Pour chaque outil, précisez le coût de licence et sa compatibilité avec les exigences HDS.
-
3Proposez un plan de restauration de la confiance envers l'IT pour le personnel soignant traumatisé par les 11 jours de crise : comment les médecins, infirmiers et techniciens de laboratoire qui ont vécu l'arrêt brutal du SIH peuvent-ils retrouver confiance dans l'informatique de l'établissement ? Incluez un programme de sensibilisation cyber adapté aux soignants (phishing simulation, formation aux bons réflexes, exercices pratiques de 20 minutes sans jargon technique).
-
4Définissez la politique de télétravail sécurisé pour l'équipe Cyber : quelles conditions techniques sont requises pour qu'un analyste SOC ou un ingénieur cloud travaille à distance en accédant à l'infrastructure HDS ? (VPN certifié, poste durci BYOD interdit, MFA, session enregistrée pour les accès admin). Quelles activités sont strictement interdites en télétravail pour des raisons de confidentialité HDS ?
La formation cyber du personnel soignant est un enjeu critique dans les hôpitaux français : 90% des cyberattaques exploitent l'erreur humaine. Le jury attend une approche pédagogique réaliste adaptée à des soignants en surcharge de travail — pas un cours de 8h sur les protocoles réseau. Pensez micro-formations, quiz 5 minutes, affiches dans les vestiaires, exercices de phishing simulé.
-
1Élaborez un programme de formation sur 24 mois structuré en 3 phases : (1) M1-M6 Quick Wins sécurité — certifications d'urgence pour combler les gaps critiques post-incident ; (2) M7-M16 Build & Consolidate — montée en compétences Cloud HDS, SOC opérationnel, préparation ISO 27001 ; (3) M17-M24 Optimize & Expert — spécialisations avancées, maintien en condition opérationnelle. Pour chaque phase : formations ciblées, profils concernés, modalités (présentiel, online, bootcamp), durée.
-
2Identifiez les certifications prioritaires pour l'équipe Vitalys avec leur coût et leur délai d'obtention : certifications défensives (ISO 27001 Lead Implementer/Auditor, CompTIA Security+, CISSP), certifications Cloud (AWS Security Specialty, OVHcloud Professional, Certified Cloud Security Professional CCSP), certifications SOC (GIAC GCED, Splunk SIEM Certified, EC-Council CEH), et certifications forensiques (GCFE, GCFA pour l'Incident Responder). Justifiez leur lien avec les référentiels HDS et NIS2.
-
3Proposez un plan de requalification spécifique pour les 2 administrateurs IT existants : compte tenu de leur profil (administration système Windows/Linux, réseau) et de leur connaissance de l'infrastructure Vitalys, vers quel rôle Cyber peuvent-ils être formés en 6-12 mois ? (ex : AD/IAM Security Specialist pour l'un, SOC Analyst L1 pour l'autre). Proposez un parcours de formation concret avec jalons d'évaluation.
-
4Chiffrez le budget total de formation sur 24 mois et identifiez les leviers de financement : CPF des collaborateurs, OPCO Santé (OPCO EP — Éducation et Formation pour le secteur de la santé privée), plan de développement des compétences de l'établissement, dispositifs ANSSI de soutien à la formation cyber (notamment pour les OSE désignés NIS2), appels à projets régionaux.
Le secteur de la santé privée est rattaché à l'OPCO EP (Éducation & Privé). Des financements spécifiques existent pour les formations en cybersécurité des établissements de santé suite aux vagues d'attaques de 2021-2024. Par ailleurs, l'ANS (Agence du Numérique en Santé) propose des kits de formation cyber gratuits dédiés aux professionnels de santé — à mentionner dans votre budget.
-
1Définissez au moins 5 objectifs SMART Cyber & Cloud couvrant différents rôles de l'équipe. Exemples de cadre : (a) SOC Analyst — "Réduire le MTTD (Mean Time To Detect) de 200 jours à moins de 24h d'ici M12, mesuré via le SIEM" ; (b) Cloud Architect — "Migrer 100% des serveurs HDS vers l'infrastructure cloud souverain certifiée avec zéro interruption de service d'ici M9" ; (c) GRC Officer — "Atteindre un taux de 85% des contrôles ISO 27001 conformes lors de l'audit à blanc prévu en M18". Pour chaque objectif : formulation SMART complète, indicateur, source, fréquence, échéance.
-
2Proposez une grille d'évaluation individuelle adaptée aux profils Cyber, avec deux catégories : performance opérationnelle (taux de détection des incidents dans les SLA, qualité des rapports de sécurité, respect des procédures HDS, couverture du patch management) et comportements professionnels (réactivité en astreinte, communication avec les équipes médicales non-techniques, capacité à former les utilisateurs, gestion du stress en situation de crise). Précisez le système de notation et les modalités de calibration entre managers.
-
3Définissez les KPIs collectifs de l'équipe Cyber & Cloud permettant de mesurer la progression du programme : MTTD et MTTR mensuels, taux de vulnérabilités critiques non patchées sous 72h, couverture EDR (% endpoints supervisés), taux de conformité ISO 27001 (% contrôles verts), nombre d'exercices de crise cyber réalisés, taux de personnel soignant sensibilisé (objectif 100% sous 18 mois). Pour chaque KPI : valeur initiale (Day 1), cible à M24, outil de mesure.
-
4Rédigez le calendrier des entretiens de performance sur 24 mois (fréquence, durée, interlocuteurs, contenu) en intégrant les spécificités du secteur de la santé : comment articulez-vous les entretiens formels avec le suivi opérationnel permanent d'une équipe SOC qui travaille en 24/7 et par rotations ? Comment évaluer équitablement un analyste d'astreinte dont les incidents traités dépendent du hasard des attaques ?
Le personnel de l'équipe Cyber de Vitalys relève de la Convention Collective Nationale des établissements privés d'hospitalisation (IDCC 0029). Les grilles salariales et les modalités d'évolution doivent être compatibles avec cette CCN. Les primes d'astreinte sont encadrées réglementairement. Votre système d'évaluation doit être conforme à ces contraintes — mentionnez-les explicitement dans vos livrables.
Consignes Transversales & Critères d'Évaluation
| Critère | Description | Pondération |
|---|---|---|
| Contextualisation Vitalys | Chaque livrable doit être ancré dans la réalité post-ransomware de Vitalys : vecteurs d'attaque LockBit identifiés, données HDS à protéger, personnel soignant traumatisé, contraintes NIS2/HDS. Les réponses génériques cyber sans lien avec le cas santé sont pénalisées. | Forte |
| Cohérence inter-livrables | Les postes recrutés (L2) doivent corriger les gaps identifiés (L1). La RACI sécurité (L3) doit refléter l'organigramme. Le plan de formation (L5) doit combler les lacunes listées en L1. Les KPIs (L6) doivent mesurer les objectifs du programme Cyber. | Forte |
| Réalisme Cyber & budgétaire | Les salaires des profils Cyber doivent refléter le marché réel (pénurie) et les licences des outils (SIEM, EDR, PAM) doivent être estimées et intégrées dans le budget. Le total RH ne peut pas dépasser 480 000 €/an. | Importante |
| Maîtrise des contraintes secteur santé | HDS, NIS2, RGPD Art. 33, Convention Collective Santé, OPCO EP — ces contraintes spécifiques doivent apparaître dans les livrables concernés. Un plan générique qui ignore la réglementation santé est insuffisant. | Importante |
| Dimension humaine post-crise | La gestion des 2 IT existants choqués par l'incident, la restauration de la confiance des soignants, et les conditions d'astreinte SOC doivent être abordées avec profondeur et empathie. Les réponses purement techniques sans dimension humaine seront pénalisées. | Importante |
| Forme et structure | Matrices compétences, organigramme, RACI et tableau de bord KPIs sous forme visuelle sont attendus et valorisés. Un dossier entièrement textuel sans aucune mise en forme visuelle sera moins bien noté. | Standard |
- Dossier structuré PDF avec page de garde, sommaire, une section par livrable clairement identifiée
- Volume indicatif : 22 à 32 pages hors annexes. La concision est appréciée.
- Matrices et organigrammes : Miro, Lucidchart, Figma ou tableau Excel intégré en image
- Soutenance orale : 20 minutes de présentation + 10 minutes de questions
- Questions types : "Comment gérez-vous la tension entre urgence médicale et contrainte de sécurité ?" · "Pourquoi avez-vous choisi ce SIEM plutôt qu'un autre ?" · "Que faites-vous si vous ne trouvez pas de DFIR expert en 3 mois ?"