6 millions d’euros pour motoriser la conformité. Naq, jeune pousse binationale Londres–Amsterdam, capte une série A et ambitionne de rendre la cybersécurité des solutions e-santé aussi invisible qu’un réseau électrique. Une promesse à l’heure où les hôpitaux et leurs fournisseurs numériques subissent une pression croissante sur la résilience et l’intégrité des données cliniques.

Cybersécurité en santé: une vulnérabilité systémique désormais économique

Les attaques informatiques ne ciblent plus uniquement les serveurs des centres hospitaliers. Elles étendent leurs tentacules aux briques logicielles qui tissent le parcours patient: télésurveillance, imagerie cloud, triage IA, portails patients, connecteurs d’interopérabilité. L’extension du périmètre d’exposition rend la continuité des soins dépendante d’interconnexions techniques, souvent opérées par des startups et des PME healthtech.

Cette exposition change la nature du risque pour les dirigeants. Il ne s’agit plus d’un risque IT isolé, mais d’un risque de liquidité opérationnelle: perte d’accès aux outils métiers, indisponibilités prolongées, pénalités contractuelles, hausse des primes cyber, audit post-incident, sans compter l’impact réputationnel. Les RSSI d’établissements publics, comme les CTO d’éditeurs, doivent désormais parler un langage commun: modèle de menace, journalisation probante, réversibilité, cartographie des dépendances tierces, et preuves de conformité auditées en continu.

En France, la stratégie nationale du numérique en santé met l’accent sur la protection des données et l’intégration sécurisée des technologies. L’essor de l’IA appliquée à la santé, documenté par l’enseignement supérieur et la recherche, renforce la pression sur les dispositifs industriels, la gouvernance des modèles et la traçabilité des jeux de données qui irriguent les algorithmes. La sécurité by design n’est plus une option pour accéder aux marchés hospitaliers.

Rappels réglementaires pour opérer en e-santé en France

Commercialiser une solution de e-santé implique de répondre à plusieurs exigences cumulatives. Points clés:

  1. RGPD et cadre national de protection des données de santé: registre des traitements, DPIA lorsque requis, clauses avec sous-traitants.
  2. Hébergement de données de santé: recours à un prestataire certifié HDS ou certification HDS si l’éditeur héberge lui-même.
  3. Interopérabilité: respect du cadre d’interopérabilité des systèmes d’information de santé (CI-SIS) pour l’échange de données.
  4. Dispositifs médicaux: marquage CE en vertu du règlement (UE) 2017/745 lorsque la finalité relève du DM logiciel.
  5. Sécurité du numérique en santé: application des référentiels et guides publiés par l’agence nationale compétente, avec preuves d’auditabilité.

Automatisation de la conformité: de l’audit ponctuel à la preuve continue

La réponse stratégique qui monte en puissance consiste à industrialiser la conformité. Sous l’appellation compliance-as-code, des contrôles jadis réalisés manuellement deviennent des règles paramétrées, exécutées et journalisées dans les pipelines de développement et d’exploitation: revue de sécurité du code, durcissement des configurations, suivi des vulnérabilités, gestion des accès, cryptographie, sauvegardes testées, et alignement documentaire automatique.

Appliqué à la santé, ce modèle vise deux objectifs. D’abord, réduire la dépendance aux ESN pour des tâches répétitives et coûteuses en audit et en production de livrables, tout en améliorant l’homogénéité des preuves.

Ensuite, accélérer l’accès au marché grâce à des dashboards de conformité prêts à l’emploi et des contrôles continus, plutôt qu’un « big bang » de validation à chaque palier contractuel. Le gain opérationnel est double: visibilité sur la posture de sécurité en temps réel et capacité à répondre aux exigences des établissements publics et privés sans ralentir les roadmaps produit.

Au-delà de l’automatisation de tests, l’approche regroupe: mapping des exigences (RGPD, HDS, CI-SIS, ISO, SOC 2, HIPAA) vers des contrôles techniques et organisationnels concrets; génération guidée des artefacts exigibles (politiques, registres, plans de tests, inventaires d’actifs, registres d’événements); corrélation d’alertes sécurité avec des exigences précises pour prioriser ce qui est réellement « non conforme »; et export des preuves pour les audits contractuels ou réglementaires.

Naq structure sa proposition autour d’une conformité « toujours active »

Positionnée sur ce créneau, Naq a conçu une plateforme dédiée aux éditeurs de solutions numériques de santé. La société, issue d’un accélérateur du National Cyber Security Centre britannique, vise à rendre la conformité « toujours active » et vérifiable, avec une couverture des obligations cybersécurité, confidentialité et sécurité clinique. Selon l’entreprise, plus de 150 solutions déployées dans l’écosystème NHS s’appuient déjà sur son approche.

Qui sont les fondateurs et quelle est leur trajectoire

Naq a été fondée en 2020 par Nadia Kadhim, juriste spécialisée en protection des données, et Chris Clinton, ancien expert en cybersécurité au sein de milieux opérationnels internationaux. Le tandem incarne la jonction entre conformité légale et sécurité opérationnelle, deux compétences rarement réunies dans des structures de petite taille. L’ambition affichée est claire: rendre la cybersécurité invisible pour les éditeurs, comme une infrastructure de base que l’on ne remarque que lorsqu’elle fait défaut.

Naq: feuille de route produits et périmètre normatif

La plateforme vise la portabilité internationale des preuves de conformité. Au-delà du RGPD, Naq cible SOC 2 pour les contrôles de sécurité, HIPAA pour les données de santé aux États-Unis, et ISO/IEC 42001 pour les systèmes de management de l’IA, une norme émergente qui structure la gouvernance des modèles et des risques. L’objectif: réduire les frictions à l’export en alignant dès la conception les exigences transfrontalières.

Lecture rapide: ce que Naq automatise côté éditeurs

Composants clés mis en avant par la startup:

  • Cartographie d’exigences multi-normes et regroupement par « contrôles » exécutables.
  • Collecte et horodatage de preuves techniques et organisationnelles, avec export pour audit.
  • Tableaux de bord d’état de conformité pour commerciaux, dirigeants et équipes produit.
  • Moteur d’alerting pour les écarts critiques, priorisés selon l’impact métier en santé.
  • Guides et playbooks pour la sécurité clinique et la confidentialité dès la conception.

Financement de 6 millions d’euros: cap sur l’ia et l’extension normative

Naq annonce une série A de 6 millions d’euros, menée par Automate Health, une société soutenue par Steyn Group. L’opération, équivalente à 5,1 millions de livres sterling, est fléchée vers l’accélération du développement produit, le renforcement des capacités d’intelligence artificielle et l’élargissement des référentiels couverts, en vue de déploiements multi-pays. Cette étape consolide un positionnement binationale, Londres et Amsterdam, pensé pour l’Europe et les marchés anglophones (6 millions d’euros, 15 septembre 2025).

Pour les éditeurs français cherchant à se raccorder aux environnements NHS tout en conservant une assise RGPD et HDS, l’intérêt est évident: un guichet unique pour démontrer la conformité aux exigences transfrontalières et converger vers des socles communs. De quoi réduire le cycle de vente auprès des acheteurs publics et privés, souvent ralenti par les contrôles préalables et la vérification des preuves.

Métriques Valeur Évolution
Montant de la série A 6 000 000 € Nouveau tour
Équivalent en GBP £ 5,1 M Référence
Solutions NHS prises en charge ≥ 150 En hausse
Implantations Londres, Amsterdam Stable
Standards ciblés 2025 RGPD, SOC 2, HIPAA, ISO/IEC 42001 Extension

La norme structure un système de management de l’IA comparable à l’ISO 27001 pour la sécurité de l’information. En pratique: gouvernance des modèles et de leurs versions, documentation des jeux de données d’entraînement et des biais, et maîtrise du cycle de vie depuis la conception jusqu’à la surveillance en production. Pour un éditeur santé, cela se traduit par des registres de risques spécifiques, une traçabilité des modifications de modèles et des critères d’acceptation clinique.

Le marché français entre exigences accrues et fenêtres d’opportunité

La stratégie publique relative au numérique en santé met l’accent sur la sécurisation des données, la souveraineté des infrastructures et l’élévation des niveaux d’interopérabilité. Les établissements, confrontés à la modernisation de leurs systèmes, attendent des éditeurs qu’ils apportent non seulement des fonctionnalités métiers, mais aussi des preuves de conformité immédiatement vérifiables: rapports d’audit, politiques signées, scripts de durcissement, tests de restauration, inventaires d’actifs, démonstrations de cloisonnement.

Pour des technologies embarquant de l’IA, la convergence attendue autour d’ISO/IEC 42001, combinée à des référentiels sectoriels, devrait structurer les appels d’offres. Sur ce terrain, les acteurs capables d’opérationnaliser la gouvernance de l’IA, de démontrer la robustesse des modèles et de prouver la non-régression clinique au fil des versions, disposeront d’un avantage compétitif. L’alignement sur des référentiels reconnus à l’international fluidifie aussi les parcours d’export.

Lecture de l’environnement public: signaux convergents

Trois signaux récents structurent le marché:

  • Les priorités nationales du numérique en santé renforcent les attentes de sécurité et d’interopérabilité, avec des référentiels et des guides qui s’imposent progressivement dans les cahiers des charges.
  • Les analyses de l’écosystème académique sur l’IA soulignent la nécessité d’une régulation adaptée et de garde-fous opérationnels, dont la traçabilité des données et des modèles.
  • Les documents d’orientation sur l’innovation et la cybersécurité à l’échelle de l’État rappellent l’importance des secteurs critiques, santé incluse, et l’accélération en mode « projet » pour concrétiser les résultats.

Impacts économiques: la conformité comme levier de productivité et de financement

L’équation économique est directe. Centraliser et automatiser la conformité permet de réduire les coûts récurrents d’audit et de production documentaire, mais surtout de réduire le délai de vente dans un contexte où les contrôles de sécurité et de confidentialité peuvent étirer un cycle commercial de plusieurs mois. Les directions financières y voient un double bénéfice: moins de charges externes et meilleure prévisibilité des signatures.

Sur la structure de capital, une posture de conformité éprouvée peut abaisser la perception du risque opérationnel par les investisseurs et les assureurs. À l’international, porter un référentiel commun facilite les partenariats et les intégrations. Pour les PME healthtech, la capacité à produire des preuves exploitables par des acheteurs publics européens devient un argument de négociation, voire un filtre d’éligibilité.

Pour les établissements et GHT, la standardisation des preuves côté fournisseurs élève également le niveau de service. En particulier: visibilité multi-fournisseurs sur les actifs critiques connectés au SIH, meilleure anticipation des risques tiers, et renforcement de la résilience collective par des pratiques homogénéisées. La chaîne de valeur y gagne en lisibilité et en rapidité d’exécution contractuelle.

Trois usages à forte valeur ajoutée: aligner les roadmaps produit et les jalons de conformité pour sécuriser la reconnaissance du revenu; intégrer les métriques de conformité dans les KPI de customer success pour réduire le churn lié aux exigences non tenues; et structurer une « dataroom de conformité » prête pour les due diligences, accélérant les opérations de M&A et de levées ultérieures.

Lecture sectorielle: interopérabilité, sécurité clinique et preuves partageables

L’un des freins majeurs à l’adoption des solutions de santé numérique tient à la difficulté d’aligner simultanément interopérabilité, confidentialité et sécurité clinique. Pour convaincre les comités d’évaluation, il faut des preuves partageables avec un niveau d’abstraction suffisant pour être comprises par les directions, mais assez détaillées pour satisfaire RSSI et ingénieries biomédicales. Les plateformes d’automatisation apportent ici une fonction documentaire et probatoire, adossée à des contrôles exécutables.

Cette transition vers la preuve continue a un effet d’entraînement sur l’écosystème: les startups structurent plus tôt leurs pratiques, les établissements harmonisent leurs demandes, les investisseurs comprennent mieux la maturité opérationnelle des portefeuilles. À mesure que l’IA s’intègre au cœur des dispositifs, cette standardisation devient un préalable à l’industrialisation: tests de non-régression clinique, explicabilité, gestion des dérives de données, et capacité à désactiver un modèle ou à revenir à une version antérieure sans interrompre les soins.

Chiffres clés et portée de l’opération Naq

Ce qu’il faut retenir en un clin d’œil:

  • 6 M€ levés pour accélérer l’IA, étendre la couverture normative et industrialiser la preuve de conformité.
  • ≥ 150 solutions déjà opérées dans l’écosystème NHS, signal d’une maturité d’usage côté santé.
  • Couverture multi-référentiels: RGPD, SOC 2, HIPAA, ISO/IEC 42001, avec une cible d’export Europe–États-Unis.
  • Positionnement binationale Londres et Amsterdam, lisible pour des déploiements transfrontaliers.

Cyber-résilience des soins: la conformité comme avantage concurrentiel

L’automatisation de la conformité et la preuve continue s’imposent comme des accélérateurs de marché. L’investissement de Naq acte une tendance structurelle: ce n’est plus l’audit ponctuel qui fait foi, mais la capacité à démontrer, à tout moment, la maîtrise des risques sur des circuits qui mêlent données sensibles, infrastructures hybrides et algorithmes d’IA.

Pour les acteurs français de la healthtech comme pour les établissements, la trajectoire est claire: outiller la conformité pour fluidifier les ventes, renforcer la sécurité et créer des avantages différenciants à l’export. Le nouveau standard compétitif est celui de la confiance vérifiable, au bon niveau de granularité, à la bonne fréquence.

La prochaine bataille se jouera dans l’ingénierie des preuves autant que dans les lignes de code.