Quels sont les 4 enjeux de la donnée de santé ?

Les cyberattaques contre les hôpitaux ne sont plus des scénarios de science-fiction : elles frappent chaque semaine en France, avec des conséquences directes sur les patients. Dossiers bloqués, urgences ralenties, opérations reportées : la cybersécurité n’est plus qu’un sujet technique. Comprendre les 4 enjeux clés liés aux données de santé – disponibilité, intégrité, confidentialité et traçabilité – est aujourd’hui indispensable pour garantir la continuité des soins et protéger un patrimoine informationnel aussi sensible que stratégique.

Qu’est-ce qu’une donnée de santé ?

Il s’agit de toute information concernant l’état de santé, physique ou mental, passée, présente ou future d’une personne physique.

Par exemple :

• Données permettant d’identifier une personne à des fins médicales (numéro, symbole, etc.),
• Données issues de tests ou d’examens, y compris génétiques ou biologiques,
• Données relatives aux maladies, symptômes, traitements, handicaps, antécédents, etc.

Qu’est-ce qui rend les établissements de santé si vulnérables ?

Quelle est la nature des attaques ? Le rapport ENISA (1) révèle que 54 % des menaces dans le secteur de la santé sont des rançongiciels (ou “ransomwares”). Pour rappel, un rançongiciel est un logiciel malveillant qui bloque l’accès aux données d’un système informatique jusqu’au paiement d’une rançon.

Quelle proportion d’établissements sont ciblés ?

En 2024, 558 incidents (2) ont été recensés dans le secteur santé, notamment des hôpitaux publics. 31 % des dispositifs hospitaliers ont fonctionné en mode dégradé suite à ces cyberattaques (2).

Quel est l’impact opérationnel et financier ?

En France, une attaque ralentit les urgences, bloque les soins, et engendre des coûts pouvant atteindre plusieurs millions : jusqu’à 10 M€ pour la gestion de crise, 20 M€ de perte (Chiffres Eurosai-it (3)).

Pourquoi une telle vulnérabilité ?

Les systèmes informatiques hospitaliers comptent entre 80 et 1000 applications hétérogènes. Ils pâtissent :

• d’un sous-investissement (1,7 % du budget contre 9 % dans la banque) ;
• de matériel obsolète (20 % des postes âgés de 7 ans et plus) ;
• de multiples objets connectés non sécurisés (Eurosai-IT (3)).

Qui cible les données de santé et pourquoi ?

Le secteur de la santé attire particulièrement les cybercriminels en raison de la valeur stratégique de ses données. Les informations sensibles des hôpitaux contiennent des dossiers médicaux, des données personnelles et des informations financières qui se vendent à prix élevé sur le marché noir.

Des groupes organisés, comme LockBit, ciblent directement les hôpitaux car ils savent que ces établissements disposent souvent de systèmes moins sécurisés. Ces défaillances facilitent les attaques et maximisent leurs chances d’obtenir une rançon importante rapidement.

Quels sont les 4 grands enjeux autour de la donnée de santé ?

Maîtriser les enjeux spécifiques de la cybersécurité en établissements de santé, c’est sécuriser l’ensemble de l’activité médicale, paramédicale, administrative et logistique.

1. La disponibilité des données

Accéder à la donnée quand on en a besoin : tel est le premier impératif. Un professionnel de santé doit pouvoir consulter un dossier patient sans délai, en salle d’urgence comme en consultation. Une indisponibilité, même temporaire, peut retarder une intervention, fragiliser une décision ou désorganiser un service.

Pour garantir cette disponibilité, il faut :

• Des systèmes redondants, c’est-à-dire un dispositif informatique qui duplique les composants essentiels d’un système pour qu’il continue de fonctionner même en cas de panne,
• Des sauvegardes régulières,
• Et des procédures de reprise après incident.

2. L’intégrité des données

Toute donnée de santé doit être fiable, complète et inchangée.

Un dossier médical modifié par erreur, corrompu par un virus, ou altéré par une mauvaise synchronisation devient inutilisable. C’est l’un des risques cyber les plus sous-estimés.

Comme le souligne Cédric Cartau, RSSI du CHU de Nantes, dans notre livre blanc sur la cybersécurité des ES : « Dans les établissements de santé, ce n’est pas la confidentialité des données qui est la principale source d’inquiétude, mais leur intégrité. »

Concrètement, garantir l’intégrité implique :

• Des contrôles de cohérence automatiques, pour s’assurer que les données saisies ou traitées respectent certaines règles logiques et normes définies à l’avance.
• Une validation humaine à chaque modification critique.
• Une traçabilité constante de toutes les actions et modifications sur les données
• Un suivi rigoureux des mises à jour.

3. La confidentialité des données de santé

La donnée médicale ne doit jamais tomber entre de mauvaises mains. Fichiers de patients, diagnostics, prescriptions : toute cette information est protégée par le secret médical. Une violation de confidentialité peut entraîner des conséquences juridiques, humaines et institutionnelles.

La protection des accès, l’authentification forte, le chiffrement et la formation des agents sont essentiels. Il s’agit là d’une garantie de confiance pour les patients comme pour les soignants.

4. La traçabilité des données de santé

Qui fait quoi, quand, sur quelles données ?

La traçabilité est la colonne vertébrale de la cybersécurité dans la santé. Elle permet d’auditer, de comprendre, de réagir et, en cas d’incident, d’expliquer.

Pour l’assurer, chaque action doit être journalisée, analysable, et conservée selon les règles en vigueur. Cela facilite aussi la gestion des droits et la qualité des soins.

Comment renforcer sa stratégie face au risque cyber ?

Les conséquences des cyberattaques vont bien au-delà de la simple perte de données. Elles désorganisent, fragilisent et mettent parfois en danger les patients.

Pour faire face à ces menaces, plusieurs leviers sont à activer simultanément :

1. Investir dans la résilience numérique

Le plan national CaRE, doté de 750 M€ (4), appelle les structures sanitaires et médico-sociales à :

• Sécuriser leurs SI,
• Renforcer la gouvernance de la cybersécurité,
• Mettre en œuvre un plan de continuité (PCA) réaliste.

2. S’assurer face aux cyber-incidents

En complément des protections techniques, une assurance cyber spécialisée santé est aujourd’hui indispensable. Notre assurance cyber répond à ces enjeux avec une approche globale :

• Diagnostic de maturité face aux risques cyber,
• Recommandations personnalisées,
• Prise en charge des frais de la gestion de crise,
• Accompagnement dans les démarches administratives.

Aller plus loin : les ressources utiles pour comprendre et agir

Vous souhaitez approfondir votre compréhension des risques cyber dans la santé ? Plusieurs ressources sont disponibles pour vous accompagner.

• Infographie – Les 4 enjeux de la donnée de santé
• Livre blanc à télécharger – « Cybersécurité : nouveau défi des établissements de santé et médico-sociaux »

Références officielles 

1. Menace ransomware 54 % – ENISA, rapport “Cyber threat landscape of the health sector” - European Commission 
2. 558 incidents en 2024 – cyberveille.esante.gouv.fr 
3. Coût crise : 10 M€ + 20 M€ pertes – Cour des comptes/DNS programme CaRE EUROSAI IT Working Group 
4. Plan national CaRE