Le risque cyber en établissement de santé : d’où provient la menace ?
La transformation numérique du secteur de la santé s’accompagne d’un risque croissant : le risque cyber en établissement de santé. Qu’il s’agisse d’une cyberattaque ou d’un dysfonctionnement non malveillant, les conséquences peuvent impacter la continuité des soins comme la sécurité des données.
Tous les établissements sont concernés, des Groupements hospitaliers de territoire (GHT) aux établissements d’hébergement pour personnes âgées dépendantes (EHPAD). Face à ces menaces, des dispositifs institutionnels existent pour accompagner et sécuriser. Cet article aide à mieux comprendre les risques, évaluer son exposition et renforcer sa résilience numérique.
Le risque cyber dans les établissements de santé
Dans un monde toujours plus numérique, les établissements de santé font face à une réalité incontournable : la protection de leurs systèmes d’information est désormais au cœur des enjeux de sécurité hospitalière. Ce risque numérique ne relève pas uniquement d’une problématique cyber ou technique. Il touche directement la capacité à soigner, à diagnostiquer et à protéger les données des patients. Le moindre dysfonctionnement – qu’il s’agisse d’un logiciel malveillant, d’une erreur humaine ou d’un appareil non mis à jour – peut compromettre la prise en charge médicale.
Au fil des années, la menace s’est intensifiée. Les structures de santé déclarent les incidents numériques qu’elles subissent au CERT Santé, auquel cette compétence a été déléguée par les ARS. C’est ce qui permet à l’ANS de produire des statistiques générales mais concrètes et fiables, pour décrire l’activité de la menace sur le secteur hospitalier français.
L’ensemble des structures de soins – Les hôpitaux, les cliniques, mais aussi les GHT et les établissements médico-sociaux – doivent désormais penser la cybersécurité comme un élément structurant de leur fonctionnement. Et les outils existent : programmes nationaux, formations, audits, accompagnement dédié.
Une menace cyber complexe
Le risque cyber en établissement de santé ne se résume pas aux attaques de hackers. Il englobe aussi des faiblesses internes, souvent invisibles, qui peuvent avoir des conséquences tout aussi graves sur la sécurité et la continuité des soins ; c’est la raison pour laquelle, il est question de risque numérique lorsqu’il n’est pas seulement issu de scénarios de malveillance.
Qu’entend-on par « risque cyber »
Le risque cyber désigne l’ensemble des menaces, vulnérabilités et événements – malveillants ou accidentels – susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des systèmes d’information et des données de santé.
Il concerne tout dysfonctionnement pouvant nuire à la continuité des soins, à la sécurité des patients ou à la protection des informations médicales. Ces dysfonctionnements recoupent les attaques externes (rançongiciel, hameçonnage, intrusion), les erreurs humaines, les défaillances techniques et les failles organisationnelles.
Le terme couvre donc tout ce qui peut perturber les systèmes informatiques. Il ne s’agit pas toujours d’une attaque volontaire. L’ANS rappelle d’ailleurs que de nombreux incidents proviennent de dysfonctionnements sans malveillance.
En 2024, environ 44% des incidents signalés au CERT Santé étaient d’origine malveillante (1). Le reste provenait d’erreurs ou défaillances techniques.
Un besoin renforcé par l’essor du numérique
Le système de santé repose désormais sur des outils numériques pour tout, du dossier patient aux interprétations à distance. Cette transformation améliore la qualité et la rapidité des soins, mais elle rend aussi les établissements plus vulnérables.
Plus le numérique progresse, plus la surface d’attaque augmente : chaque logiciel, chaque appareil connecté, chaque accès à distance devient une porte d’entrée potentielle pour une menace, mais aussi un dysfonctionnement. Il est donc vital de renforcer chaque maillon de la chaîne, qu’il s’agisse des équipements, des réseaux ou des pratiques du personnel.
Le risque cyber ne se limite par ailleurs pas à la menace de hackers agissant depuis l’étranger : une simple erreur de manipulation, un mot de passe trop faible, ou un ordinateur resté trop longtemps sans mise à jour peut suffire à créer une faille exploitable par différents types de malfaiteurs. Cette réalité impose une vigilance continue. La menace cyber reste néanmoins maîtrisable grâce à une organisation rigoureuse, des outils adaptés et une culture commune de la cybersécurité dans les établissements de santé.
Des points d’entrée multipliés
Les cyberattaques profitent de l’exposition croissante des établissements de santé, où les technologies IT et OT (opérationnelle) se côtoient et se complexifient. Ces environnements fragmentés, offrent de nombreuses portes d’entrée potentielles pour la menace, dans un contexte de contraintes budgétaires pesant sur les moyens de protection.
Les équipements médicaux modernes – comme les respirateurs, les pompes à perfusion ou les moniteurs de surveillance – sont souvent connectés pour transmettre des données ou recevoir des mises à jour. De même, les capteurs IoT (Internet des objets) mesurent des paramètres médicaux ou environnementaux (température, rythme cardiaque, etc.) en temps réel qu’ils renvoient eux sur Internet.
Enfin, les systèmes techniques des bâtiments – comme le chauffage, la ventilation ou la vidéosurveillance – sont désormais pilotés par informatique. Tous ces dispositifs, s’ils ne sont pas suffisamment protégés, deviennent des points d’entrée pour les maliciels. Une simple faille de sécurité dans l’un de ces équipements peut compromettre le dispositif de sécurité des établissements de santé.
Les systèmes d’information hospitaliers
Les systèmes d’information hospitaliers sont devenus très complexes à cause de la multiplication des couches applicatives métiers. Cette complexité complique leur mise à jour et leur sécurisation.
Ces systèmes s’interconnectent par ailleurs souvent à d’autres acteurs : organismes de sécurité sociale, hébergeurs de données de santé, ou d’autres établissements hospitaliers (comme les Groupements Hospitaliers de Territoire). Cette interconnexion élargit la surface d’attaque, offrant plus de points d’entrée aux cybercriminels.
Enfin, la pratique du « shadow IT » – c’est-à-dire l’usage de matériels ou logiciels personnels non autorisés – augmente encore les risques. Ces outils non contrôlés créent des failles supplémentaires dans la sécurité.
Identifier les menaces cyber qui planent sur les établissements de santé
Qu’est-ce qu’un rançongiciel (ransomware) ?
Un rançongiciel (ou ransomware) est un logiciel malveillant qui chiffre les fichiers d’un système ou bloque l’accès aux données jusqu’au paiement d’une rançon. Ces attaques sont particulièrement efficaces sur les établissements de santé, car ceux-ci ont un besoin vital et immédiat d’accès aux informations médicales pour garantir la continuité des soins. Sans accès au dossier médical, les services de santé sont contraints de fonctionner en mode dégradé, avec un impact direct sur la prise en charge des patients
La menace rançongiciel reste la plus importante en 2024 en termes d’impact sur le SI. Le nombre d’incidents lié à cette menace est en hausse de 28% par rapport à 2023 et concerne majoritairement des établissements de santé publics et des ESMS (1). Ce recul laisse penser que la menace diminue.
Les établissements de santé continuent d’être confrontés à des attaques sophistiquées, nécessitant un accompagnement expert pour les contenir. Le CERT Santé intervient notamment pour confiner les systèmes compromis, analyser les traces numériques laissées par les attaquants, et faire le lien avec les autorités compétentes en matière de lutte contre la cybercriminalité.
Les attaques par extorsion doivent rester la priorité n°1 en cybersécurité pour les établissements de santé :
- Ces attaques visent des structures où l’accès aux données est crucial à chaque instant, et peuvent perturber directement les soins, voire mettre des vies en danger.
- Le chiffrement des dossiers médicaux ou l’arrêt des systèmes peut paralyser un hôpital en peu de temps
- Les conséquences économiques, logistiques et humaines d’une attaque réussie sont considérables.
La menace ne provoque pas nécessairement l’arrêt des systèmes, mais elle reste sous le seuil permettant l’impunité. Elle exerce une pression par le biais du vol et de la menace de divulgation pour contraindre au paiement de rançons.
Phishing et comptes compromis
Le « phishing », ou hameçonnage consiste à tromper un utilisateur – souvent par le biais d’un email, d’un SMS ou d’un message sur une messagerie professionnelle – pour lui faire croire qu’il s’agit d’un message légitime (d’un confrère, d’un prestataire ou d’une autre structure). L’objectif est de le pousser à cliquer sur un lien piégé ou à divulguer des informations sensibles, comme ses identifiants de connexion.
En 2024, environ 18 % des incidents signalés dans les établissements de santé étaient potentiellement d’origine malveillante (par compromission de messageries ou vulnérabilités). (1). Lorsqu’un compte est compromis, l’attaquant peut alors se connecter au système d’information comme un professionnel de santé, contourner les protections classiques et accéder aux données patients, aux logiciels métiers, voire propager un virus.
La seule véritable barrière face au phishing est humaine. C’est pourquoi la formation du personnel est cruciale : apprendre à repérer un message suspect, vérifier l’adresse d’envoi, éviter de cliquer sur un lien douteux, signaler immédiatement toute tentative… Ces réflexes doivent être intégrés comme une hygiène numérique quotidienne, au même titre que les gestes de prévention en milieu hospitalier.
Les malwares : une menace discrète mais dévastatrice
Les « malwares », ou logiciels malveillants, sont des programmes conçus pour infiltrer, endommager ou prendre le contrôle d’un système informatique sans le consentement de l’utilisateur. Dans les établissements de santé, ces logiciels peuvent se cacher dans un simple document, un lien cliqué par erreur ou un logiciel téléchargé sans vérification. Une fois installés, ils peuvent voler des identifiants, espionner les communications, supprimer ou corrompre des données sensibles, voire ouvrir une porte d’entrée à d’autres attaques plus graves, comme les rançongiciels.
Les « infostealers », par exemple, sont des malwares capables d’exfiltrer des identifiants de connexion, mots de passe ou codes d’authentification stockés dans les navigateurs. Le CHU de Brest en a été victime en 2023 : un infostealer a été installé sur le poste de travail d’un membre du personnel. Les pirates ont accédé à des données de connexion, qu’ils ont mobilisées pour s’infiltrer dans le réseau de l’hôpital. Les connexions ont dû être coupées pendant des semaines. La prise de rendez-vous en ligne n’était plus possible, et l’hôpital a longtemps fonctionné en mode dégradé.
Les attaques DDoS : bloquer l’accès aux soins
Une attaque par déni de service distribué (ou DDoS, pour Distributed Denial of Service) vise à rendre un service indisponible en le submergeant de trafic. Concrètement, cela revient à envoyer des milliers, voire des millions de requêtes simultanées à un site ou à un serveur, jusqu’à ce qu’il ne puisse plus répondre.
Ces attaques ne visent pas nécessairement à voler des données, mais à paralyser l’activité, ce qui, dans un contexte hospitalier, peut avoir des conséquences graves. Pour limiter ce risque, les établissements doivent s’équiper de solutions de filtrage réseau (pare-feux, anti-DDoS), disposer de plans de continuité d’activité (PCA) et collaborer avec leur hébergeur pour identifier rapidement les pics de trafic anormal.
Écoute et espionnage : une menace moins visible mais stratégique
Les attaques par écoute ou espionnage numérique consistent à intercepter les flux d’informations au sein d’un réseau informatique, souvent à des fins de surveillance ou d’espionnage industriel. Dans un établissement de santé, cela peut concerner des communications internes, des comptes-rendus médicaux, des protocoles de recherche clinique ou des données de santé à forte valeur.
La menace ne provoque pas nécessairement l’arrêt des systèmes, mais elle reste sous le seuil permettant l’impunité. Elle exerce une pression par le biais du vol et de la menace de divulgation pour contraindre au paiement de rançons.
Ces attaques sont particulièrement inquiétantes car elles peuvent passer inaperçues pendant longtemps. Un attaquant discret peut collecter des informations confidentielles pendant des semaines, voire des mois, avant d’être détecté.
Les maliciels profitent souvent des tiers pour s’infiltrer
Un point d’entrée fréquent pour les maliciels est la chaîne d’approvisionnement. Les cybercriminels ciblent les prestataires ou fournisseurs liés à l’établissement de santé. Par exemple, au Centre Hospitalier Sud Francilien, des attaquants ont récupéré des identifiants valides. Ces identifiants leur ont donné accès au VPN d’un prestataire externe. Grâce à cette porte d’entrée, les maliciels ont pu se propager dans le réseau interne et lancer leur attaque.
Cela montre que la sécurité d’un établissement dépend aussi de celle de son écosystème. Toute faille chez un partenaire peut devenir une menace directe.
A lire aussi : Quels sont les types de cyberattaques au sein des établissements de santé ?
Données officielles et chiffres clés du secteur santé
Les données officielles montrent l’ampleur du risque cyber en établissement de santé.
Nombre et nature des incidents
En 2023, 581 incidents ont été déclarés, soit une baisse de 2 % par rapport à 2022. La moitié d’entre eux étaient d’origine malveillante (toujours stable) et 35 % ont eu un impact sur la prise en charge des patients (1).
En 2024, cette vigilance s’est accrue : 749 incidents déclarés (+29 % par rapport à 2023). L’augmentation des signalements ne signifie cependant pas une aggravation du risque. Elle souligne plutôt une prise de conscience collective renforcée.
Les établissements de santé utilisent davantage les dispositifs de remontée d’incidents disponibles, et notamment le portail de signalement des risques pour la santé publique (2). En effet, malgré davantage de signalements, le nombre d’incidents majeurs a diminué. Cela montre que les établissements se préparent mieux aux risques cyber, et se font accompagner dans leur prévention.
Conséquences réelles sur les soins
En 2024, 558 établissements de santé et médico-sociaux ont déclaré un total de 749 incidents de cybersécurité, soit une hausse de près de 29 % par rapport à 2023. Parmi ces incidents, 18 % étaient d’origine malveillante (notamment compromission de messageries ou exploitation de vulnérabilités).
Au total, 230 signalements (31 %) ont eu un impact direct sur la prise en charge des patients, allant jusqu’à l’interruption des soins ou l’inaccessibilité du dossier médical.(1)
L’inaccessibilité du dossier médical compromet gravement la qualité et la continuité des soins. Sans accès aux antécédents, traitements en cours ou allergies, les équipes peuvent être contraintes de prendre des décisions dans l’urgence, avec un risque accru d’erreurs. De plus, l’impossibilité de consulter les résultats d’examens ou de suivre l’évolution d’un patient peut retarder des interventions essentielles. Cette situation génère une forte pression sur les personnels, déjà soumis à de lourdes contraintes. Elle peut entraîner une désorganisation globale du service hospitalier
Les dispositifs français de prévention et d’accompagnement
Vous n’êtes pas seuls face au risque cyber. Des outils existent pour vous aider.
Le rôle central du CERT Santé
Le CERT Santé opère 24 h/24, 7 j/7 (3) représente un acteur clé dans la lutte contre le risque cyber en établissement de santé. Il assure une veille permanente et une réponse rapide aux incidents de sécurité informatique qui touchent le secteur.
Ce centre d’expertise analyse les alertes, coordonne les interventions et accompagne les établissements en cas d’attaque ou de dysfonctionnement. Son objectif principal est de limiter l’impact des cyberattaques sur la continuité des soins et la protection des données sensibles.
Il diffuse également des bulletins de veille, des bonnes pratiques, et anime le portail Cyberveille (4) pour accompagner les établissements. Ce portail centralise les informations actualisées sur les menaces cyber, les vulnérabilités détectées et les bonnes pratiques à adopter. Accessible aux établissements de santé, il permet également de déclarer rapidement les incidents et de bénéficier d’un accompagnement personnalisé. En diffusant des bulletins d’alerte réguliers et des recommandations précises, Cyberveille renforce la sensibilisation et la préparation des équipes face aux risques numériques.
Les accompagnements du plan CaRE
Le plan CaRE (Cybersécurité accélération et Résilience des Établissements) (5) soutient la montée en maturité des établissements. Lancé pour accompagner la montée en maturité des structures face au risque cyber, ce plan vise à améliorer la prévention, la détection et la réaction aux incidents. Son fonctionnement repose sur un soutien financier et technique ciblé. Il permet de déployer des solutions adaptées et de renforcer les équipes dédiées à la cybersécurité dans les établissements de santé.
Les objectifs principaux du plan CaRE sont clairs : réduire la vulnérabilité des systèmes d’information hospitaliers, garantir la continuité des soins en cas d’attaque, et protéger les données sensibles des patients. Par ailleurs, CaRE favorise la coordination entre les établissements, les agences régionales de santé (ARS) et les acteurs publics, afin de créer une réponse collective et efficace.
Conclusion
Le risque cyber en établissement de santé est réel, mais des outils clairs et officiels existent pour le maîtriser :
- Déclarez systématiquement tout incident au CERT Santé.
- Mettez en place des sauvegardes régulières et sûres (PCA).
- Formez le personnel à identifier les risques.
- Participez aux programmes de résilience (plan CaRE)
Ces étapes renforcent la protection de vos patients, de vos données et la continuité des soins.
Sources officielles
FAQ
Le risque cyber désigne tout événement – malveillant ou accidentel – susceptible de compromettre le bon fonctionnement des systèmes numériques d’un établissement de santé. Cela inclut les cyberattaques, mais aussi les pannes techniques, erreurs humaines, ou failles organisationnelles.
Tous les établissements de santé sont concernés par le risque cyber. Hôpitaux, cliniques, GHT, EHPAD, établissements médico-sociaux… Tous sont aujourd’hui exposés au risque, car tous utilisent des systèmes informatiques pour gérer les soins, les données médicales ou les équipements.
Non. 50 % des incidents en 2022 étaient non malveillants : erreur humaine, panne d’un matériel, mise à jour oubliée… Le risque ne vient pas seulement de l’extérieur, mais aussi de l’intérieur.
Les conséquences d’une attaque cyber dans un hôpital recoupent les interruptions des soins (fonctionnements en mode dégradé), l’inaccessibilité des dossiers patients, les retards dans les diagnostics et traitements, la fuite ou perte de données sensibles.
Un « maliciel » est la version française du mot « malware », contraction de « malicious software » en anglais, soit « logiciel malveillant ». Il s’agit donc de tout programme informatique conçu pour nuire à un système, un réseau ou à ses utilisateurs.
