Retour au blog
Cybersécurité Analyse de risque
Publié le 10 mars 2022 Modifié le 6 novembre 2025
Table des matières
Auteurs
  • VHMN – user icon
    Les experts Relyens
Temps de lecture : 13 minutes

Quels sont les types de cyberattaques au sein des établissements de santé ?

types cyberattaques

Les conséquences des menaces cyber peuvent être graves pour les établissements de santé. Cependant, des stratégies claires et adaptées permettent de renforcer efficacement leur sécurité. En 2024, 77 % des incidents de sécurité signalés dans le secteur santé/médico-social ont été déclarés par des établissements de santé (1). Ces attaques peuvent perturber gravement le suivi patient. Elles peuvent aussi compromettre des données sensibles et nuire à la continuité des soins.

Les formes d’attaques sont nombreuses : rançongiciels, phishing ciblé, usurpation d’identité, déni de service, ou encore exfiltration de données. Derrière ces menaces, les causes sont souvent liées à des erreurs humaines ou à des failles dans la sécurité informatique. Pourtant, des solutions concrètes existent et peuvent être mises en œuvre rapidement pour limiter ces risques.

Cet article a pour objectif de présenter les principaux types de cyberattaques visant les établissements de santé, d’en expliquer les impacts, et de proposer des mesures adaptées pour renforcer la sécurité des infrastructures. Comprendre ces cyber risques est la première étape pour mieux s’en protéger, assurer la sécurité des patients et garantir la pérennité des services de santé.

L’erreur utilisateur : première porte d’entrée des cyberattaques

Dans la majorité des cyberattaques visant les établissements de santé, le point d’entrée est une erreur humaine. Un clic mal placé, une clé USB connectée par curiosité, ou le même mot de passe utilisé pour tous les comptes personnels et professionnels suffisent à compromettre tout le système d’information. Ces erreurs se commettent sans intention de nuire, mais elles ouvrent la voie à des attaques parfois très impactantes.

Des techniques simples mais redoutables

Les moyens utilisés sont très variés. En définitive, les cyberattaques commencent souvent par une erreur d’utilisateur, qui ouvre une brèche aux pirates, soit par méconnaissance de l’informatique, soit en adoptant des comportements contraires bonnes pratiques.

« Certains hackers n’hésitent pas à laisser des clés USB malveillantes sur les parkings d’un établissement visé par une attaque. À votre avis, combien de temps faudra-t-il pour qu’un des employés connecte l’une de ces clés USB au réseau et qu’il l’infecte à son insu ? Même si cela part d’un bon sentiment, pour retrouver l’auteur et lui restituer, ou tout simplement pour effacer le contenu et s’en servir, le mal est déjà fait », alerte Pierre, hacker à chapeau blanc qui travaille pour le compte d’une entreprise spécialisée dans la cybersécurité.

Des câbles de charge infectés

Les hackers vont parfois plus loin. Il arrive qu’ils utilisent des câbles de charge qui ressemblent à des câbles classiques, mais qui contiennent en réalité des composants malveillants. Une fois branchés sur un port USB, ces dispositifs permettent aux attaquants de prendre le contrôle du poste de travail et, potentiellement, du réseau complet.

Le piège des faux e-mails internes

Certains e-mails malveillants sont envoyés en se faisant passer pour un collègue ou un supérieur. L’adresse semble légitime. Le ton est professionnel. Mais il s’agit d’un leurre, conçu pour tromper la vigilance de l’utilisateur et l’inciter à cliquer sur un lien, à fournir ses identifiants ou installer un logiciel. Ce type d’attaque relève du phishing ciblé, aussi appelé spear phishing.

Ce type de cyberattaques reste le plus répandu. En effet, L’ANSSI (1) affirme qu’un tiers des incidents dans les établissements de santé en 2022-2023 résultait d’une compromission de compte de messagerie.

Pour contrer ce risque, il est indispensable de :

  • mettre en place une double authentification
  • employer des filtres anti-spam efficaces
  • sensibiliser régulièrement le personnel
  • tester les réactions via des simulations réalistes.

Le phishing (ou hameçonnage) consiste à obtenir des informations et renseignements personnels pour usurper l’identité de la victime, par le biais de faux e-mails. Le spear phishing est une autre sorte de phishing. Ce dernier vise un groupe, une entreprise ou une institution en particulier. Ces attaques restent en tête des cyberattaques les plus répandues.

L’ingénierie sociale : se faire passer pour le support informatique ou le prestataire

C’est l’une des techniques d’attaque les plus redoutables, car elle exploite non pas une faille technique, mais la confiance humaine. Dans ce type de scénario, un cybercriminel se fait passer pour un membre du support informatique, un prestataire de maintenance ou un partenaire de confiance. Il contacte un employé par téléphone, mail ou message instantané, sous prétexte d’une mise à jour urgente, d’un problème de sécurité ou d’une demande d’accès temporaire. En jouant sur l’urgence ou l’autorité, il pousse la victime à divulguer ses identifiants, ouvrir une pièce jointe piégée ou installer un faux logiciel. Ces attaques, souvent très crédibles, rappellent que la vigilance et la vérification systématique des identités sont des réflexes essentiels, même face à des interlocuteurs semblant familiers.

Le déni de Service

Les attaques par déni de service, en anglais Denial of Service (DDoS), visent à rendre vos services numériques indisponibles.

La forme principale de ce type de cyberattaques consiste à inonder les communications internes et externes d’une structure par le biais d’un envoi massif de requêtes destinées à saturer les systèmes frontaux. Si le réseau est saturé, l’ensemble des appareils, machines et objets connectés qui en dépendent sont affectés, parfois jusqu’à leur arrêt total.

L’attaque par DDoS s’effectue généralement depuis différentes sources. Les hackers utilisent plusieurs machines dont ils ont le contrôle, appelés « ordinateurs zombies » (botnet), ce qui permet de brouiller les pistes puisqu’il peut y en avoir plusieurs milliers. Les propriétaires de ces ordinateurs ignorent qu’ils sont infectés. Ces attaques sont plus difficiles à bloquer du fait de la multiplicité des sources agissant simultanément.

Pour vous prémunir d’une attaque DdoS

  • déployez des dispositifs anti-DDoS, tels que les boîtiers anti-DdoS, ou les solutions de cloud hybrides;
  • surveillez votre réseau en continu;
  • prévoyez des redondances: mettez en place des dispositifs doublés (ou même triplés), pour garantir la continuité de service en cas d’attaque ou de panne ;
  • intégrez ces événements dans vos exercices de gestion de crise.

Les ARS ont également mis en place des plans régionaux spécifiques, comme en Île-de-France, avec des dispositifs de réaction rapide tels que le plan ORSAN Cyber (2).

Le rançonnage

Parmi les multiples types de cyberattaques, les infractions prenant la forme de tentatives d’extorsion sont, à l’heure actuelle, les exactions les plus répandues. On parle de rançongiciels ou de ransomware. Il s’agit de logiciels malveillants qui agissent par contamination de postes de travail, serveurs ou équipements informatiques dans le but de provoquer une paralysie progressive du système d’informations dû à l’indisponibilité progressive des données de santé.

Les rançongiciels chiffrent les systèmes informatiques. Ils exigent une rançon pour rétablir l’accès, avec des coûts particulièrement élevés pour l’établissement. Les établissements de santé sont particulièrement visés : entre 2022 et 2023, 30 hôpitaux français ont été touchés par ce type d’attaque, soit 10 % des incidents liés aux rançongiciels signalés à l’ANSSI (3). En outre, ces établissements représentaient 86 % des incidents signalés par l’ANSSI dans le secteur de la santé. (1)

Un cas notable est celui du CHSF de Corbeil‑Essonnes, attaqué en août 2022 par le groupe LockBit. Celui-ci a demandé une rançon estimée à 10 millions de dollars, entraînant le transfert de nouveau-nés vers d’autres structures. (4)

Le rançongiciel Ryuk

Le rançongiciel Ryuk (5) a causé des perturbations majeures dans le secteur hospitalier. Les attaques par Ryuk entraînent des interruptions prolongées des systèmes informatiques, affectant les dossiers médicaux électroniques, les systèmes de laboratoire et les services d’imagerie. Cela peut provoquer des retards dans les diagnostics, des annulations de procédures et une dépendance accrue aux méthodes manuelles. Le risque d’erreurs médicales est alors augmenté.

Les coûts associés à la réponse à ces attaques, tels que la restauration des systèmes, les services de forensic numérique et les améliorations de la sécurité, peuvent également se révéler très élevés.

L’attaque la plus médiatisée a frappé le groupe Universal Health Services (UHS) en septembre 2020. Ce groupe hospitalier privé, comptant plus de 400 établissements aux États-Unis et au Royaume-Uni, a été contraint de suspendre ses systèmes informatiques, entraînant des retards dans les soins et des redirections de patients vers d’autres hôpitaux. L’impact financier de cette attaque a été estimé à 67 millions de dollars.

Le crypto-locker

Le CryptoLocker est un logiciel malveillant utilisé dans le cas des demandes de rançons informatiques. Son fonctionnement est simple : il chiffre les données de tous les serveurs et machines infectées, les rendant inaccessibles.

Ces attaques peuvent :

  • Paralyser un service hospitalier entier en quelques minutes.
  • Bloquer les accès au Dossier Patient Informatisé (DPI), aux données des laboratoires, à la radiologie ou à la pharmacie.
  • Obliger à reporter des interventions, voire à transférer des patients.
  • Créer des situations critiques de perte de chance.

Même s’il est réversible, le logiciel cryptolocker peut donc être très pénalisant tant que la rançon n’a pas été payée.

C’est pour cette raison qu’il est conseillé de :

  • Réaliser des sauvegardes régulières, automatiques et hors ligne;
  • Programmer les mises à jour automatiques des systèmes, antivirus, et logiciels;
  • Désactiver les services inutiles, surtout les accès RDP (Remote Desktop Protocol) ou SMB (Server Message Block) non protégés;
  • Filtrer les e-mails, pièces jointes, macros et fichiers exécutables;
  • Segmenter le réseau pour limiter la propagation;
  • Sensibiliser les équipes, y compris le personnel non technique : le clic de trop part souvent d’un bon sentiment.

Exfiltration de données : un risque pour la confidentialité des patients

Les données de santé peuvent être volées, revendues ou utilisées pour du chantage. Une fuite impacte gravement la vie privée des patients et peut ternir la réputation de l’établissement. Les conséquences juridiques sont également importantes, avec des sanctions possibles de la Commission nationale de l’informatique et des libertés (CNIL) en cas de non-respect du règlement général sur la protection des données (RGPD).

Pour se protéger de ce type de cyberattaques, il faut :

  • identifier et cartographier les données sensibles afin de savoir où elles se trouvent et qui y accède ;
  • séparer ces données dans des zones sécurisées du réseau pour limiter les accès ;
  • Chiffrer les données en transit et au repos pour rendre toute interception inutile pour les attaquants ;
  • Surveiller les flux sortants pour détecter rapidement une éventuelle fuite.

Enfin, un plan de réponse aux incidents doit être en place pour réagir vite en cas de compromission : alerter les équipes, contenir la fuite et prévenir les autorités. Ces mesures techniques et organisationnelles sont indispensables pour protéger les patients et assurer la continuité des soins.

Logiciels espions (Spyware)

Les logiciels espions, ou spyware, représentent une menace silencieuse mais très dangereuse pour les établissements de santé. Contrairement aux rançongiciels qui bloquent les systèmes, ils s’installent discrètement pour surveiller les activités, collecter des données sensibles, puis transmettre ces informations aux cybercriminels.

Ils s’introduisent souvent via des emails infectés, des téléchargements non sécurisés, ou des sites compromis. Dans le secteur hospitalier, les données patients, dossiers médicaux et informations administratives sont particulièrement ciblées.

La présence non détectée de ce type de cyberattaques peut durer des semaines. Elle permet ainsi la collecte massive d’informations confidentielles qui peuvent être utilisées pour du chantage, la revente ou des fraudes. Ils peuvent aussi ralentir les systèmes et dégrader la qualité des services. La détection est complexe et nécessite des outils avancés et une surveillance constante.

Pour prévenir ces attaques :

  • former le personnel
  • maintenir à jour les antivirus et logiciels
  • segmenter le réseau
  • utiliser des solutions de détection comportementale (EDR)

Attaques sur les objets médicaux connectés (IoMT)

L’Internet des objets médicaux connectés (IoMT) améliore la prise en charge des patients mais expose aussi les établissements à de nouvelles vulnérabilités. Ces dispositifs, comme les pompes à perfusion ou pacemakers, sont souvent connectés au réseau hospitalier, parfois avec une sécurité limitée.

Ce type de cyberattaques permet de prendre le contrôle des appareils, modifier des paramètres critiques, ou interrompre leur fonctionnement, mettant en danger la vie des patients. Ces dispositifs peuvent aussi servir de portes d’entrée pour infiltrer le réseau hospitalier. Objectif : demander une rançon, voler des données sensibles, et, peut-être un jour, déstabiliser un système de santé dans un cadre géopolitique.

La diversité des équipements complique la sécurisation uniforme. Il est donc essentiel d’identifier tous les objets connectés, réaliser des audits de sécurité, et segmenter les réseaux pour isoler ces dispositifs.

Les fabricants doivent également garantir des mises à jour régulières, et le personnel soignant doit être sensibilisé aux risques. Une collaboration étroite entre équipes IT, médicales et fournisseurs est indispensable pour protéger ces dispositifs et assurer la sécurité des soins.

Manipulation et sabotage des données médicales

Au-delà du vol ou de l’indisponibilité, certains attaquants cherchent à altérer ou détruire les dossiers patients pour perturber la prise en charge ou induire en erreur les professionnels. Ces altérations peuvent entraîner des diagnostics erronés, des prescriptions inappropriées, ou des retards critiques, avec des conséquences potentiellement dramatiques pour les patients. Ce type de cyberattaques peuvent provenir d’insiders malveillants ou de hackers externes.

La détection est difficile sans contrôles d’intégrité et traçabilité. Pour s’en protéger, il faut mettre en place des sauvegardes sécurisées, segmenter les accès aux données, et utiliser chiffrement et horodatage. Des solutions de gestion des identités (IAM) limitent les droits et surveillent les comportements suspects. La formation et la vigilance du personnel sont aussi essentielles, tout comme un plan d’intervention rapide pour restaurer les données en cas de manipulation.

Références utiles

  1. Observatoire des signalements d’incidents de sécurité des systèmes d’information pour les secteurs santé et médicosocial
  2. Plan ORSAN Cyber de l’ARS IDF
  3. Egora, Trente hôpitaux victimes de cyberattaques en deux ans
  4. Egora, Des pirates russophones revendiquent la cyberattaque de l’hôpital de Corbeil-Essonnes
  5. CERT et Rançongiciel Ryuk
  6. gouv.fr
  7. ANSSI sur les IAM

FAQ

Une cyberattaque désigne toute action malveillante visant à perturber les systèmes informatiques d’un hôpital ou d’une clinique, à voler ou altérer des données, ou à extorquer de l’argent. Ces attaques peuvent toucher les dossiers patients, les dispositifs médicaux connectés ou l’ensemble du réseau informatique, mettant ainsi en danger la continuité des soins.

Les établissements de santé font face à diverses cyberattaques. Les rançongiciels bloquent l’accès aux systèmes, le phishing vise à voler des identifiants, et les attaques par déni de service rendent les systèmes indisponibles. D’autres menaces incluent le vol de données, les logiciels espions ou les attaques sur les objets médicaux connectés.

Les hôpitaux et cliniques détiennent des informations extrêmement sensibles et gèrent des systèmes essentiels pour le suivi des patients. Une interruption ou une fuite de ces données peut avoir des conséquences graves pour la sécurité des patients et la réputation de l’établissement, ce qui attire particulièrement les cybercriminels.

Les impacts possibles d’une cyberattaque sont multiples. Une cyberattaque peut bloquer l’accès aux dossiers patients et aux systèmes hospitaliers. Elle peut provoquer des retards ou annuler des soins et accroître le risque d’erreurs médicales. Ces attaques entraînent également des fuites de données sensibles, avec des conséquences juridiques importantes si le RGPD n’est pas respecté, et génèrent des coûts élevés pour restaurer les systèmes et renforcer la sécurité.

La majorité des attaques commence souvent par une erreur humaine, comme cliquer sur un email piégé, connecter une clé USB contaminée, ou divulguer involontairement des identifiants. Ces erreurs, même non intentionnelles, ouvrent la voie aux hackers et permettent des intrusions parfois très sophistiquées.

Pour limiter les risques cyber, il est essentiel de sensibiliser et de former régulièrement le personnel aux bonnes pratiques, de mettre en place la double authentification et des filtres anti-spam, de segmenter le réseau pour contenir la propagation des attaques, et de réaliser des sauvegardes régulières hors ligne. La mise à jour des logiciels et antivirus, la surveillance des flux réseau et la préparation d’un plan de réponse aux incidents permettent de réagir rapidement en cas de cyberattaque.

Les objets médicaux connectés doivent être identifiés et cartographiés afin de connaître tous les points d’accès au réseau. Il est crucial de segmenter les réseaux pour isoler ces dispositifs, de mettre à jour régulièrement leurs logiciels, et de sensibiliser le personnel aux risques liés à ces appareils. Une collaboration étroite entre équipes IT, équipes médicales et fournisseurs est indispensable pour garantir la sécurité de ces équipements et celle des patients.

Si un rançongiciel infecte un système, il est conseillé de ne pas payer la rançon sans avis d’experts, d’isoler immédiatement les systèmes infectés pour limiter la propagation, et d’activer les procédures de sauvegarde et de restauration des données. Les établissements doivent également alerter les autorités compétentes, comme l’ANSSI ou la CNIL, et suivre le plan de gestion de crise interne.

Sur le même sujet

Toutes les publications
4 enjeux de la donnée de santé
Cybersécurité Amélioration des pratiques

Quels sont les 4 enjeux de la donnée de santé ?

il y a 1 moisDéjà lu
indicateurs de compromission
Cybersécurité Protection Data Tendances & innovation

Les indicateurs de compromission (IoC)

il y a 1 moisDéjà lu
déployer l'iA en santé
Sécurité des soins Amélioration des pratiques

Déployer l’IA en santé

il y a 3 moisDéjà lu