Logo du site Relyens
Sélectionner votre langue :

Vous êtes

Les mots-clés les plus recherchés

Accueil Ressources Articles de blog Cybersécurité Cyberattaque à l’hôpital en 2025 : un constat alarmant pour les établissements de santé

Cyberattaque à l’hôpital en 2025 : un constat alarmant pour les établissements de santé

Les experts Relyens
Publié le
Modifié le
Temps de lecture : 12 minutes
cyberattaque à l'hopital

En 2025, 15 % des établissements de santé ont été confrontés à un incident informatique ayant entraîné des perturbations. Public ou privé, à but lucratif ou non : toutes les structures sont concernées et doivent se préparer à gérer ce type de menaces. Facteurs de risques, conséquences sur les établissements et les patients, réglementations favorisant la cyberrésilience : tout ce qu’il faut savoir.

La santé, l’un des secteurs les plus ciblés en France

  • Le secteur de la santé représentait à lui seul 10 % des 1 366 incidents reportés auprès de l’ANSSI en 2025 (L’Agence nationale de la sécurité des systèmes d’information).
  • C’est le 3ème secteur le plus ciblé en France, derrière l’éducation et la recherche (34 % des incidents) et les ministères et collectivités territoriales (24 %).
  • Le pourcentage d’incidents par rançongiciel touchant les établissements de santé connait une hausse inquiétante : ils représentaient 8 % des cibles en 2025, contre 5 % en 2024.
  • Les CHU ne sont pas les seuls concernés par les cyberattaques : les plus petites structures comme les cliniques et les EHPADS sont aussi menacées.

Des conséquences directes sur les patients et les structures de toute taille

En hôpital, en clinique ou en EHPAD, les cyberattaques peuvent avoir de lourdes conséquences sur la qualité de la prise en charge médicale. Elles peuvent notamment impacter la continuité des soins, la qualité de vie au travail du personnel et la sécurité des patients.

La menace pèse aussi bien sur les grosses structures que sur les petits établissements de santé : selon les résultats d’une enquête publiée en 2026 par l’ANS, 15 % des établissements ont rencontré un incident cyber qui a perturbé leur fonctionnement entre 2022 et 2025. Les établissements comptant moins de 100 lits sont un peu moins ciblés, avec 12 % d’incidents déclarés sur la même période.

Motivées par des motifs financiers, ces cyberattaques, sont souvent menées à l’aide de rançongiciel (des logiciels de rançon) et en pratiquant la double voire la triple extorsion. La méthode en deux temps consiste à faire pression sur les victimes en extrayant et en chiffrant les données de leur système d’information, avant de menacer de les divulguer. La triple extorsion concerne des tentatives d’extorsion menées auprès des partenaires et des clients de l’établissement visé par les cybercriminels.

De plus en plus fréquemment, ces attaques sont menées à l’aide de logiciels grand public permettant de s’infiltrer dans les systèmes informatiques des établissements médicaux sans déclencher leurs antivirus.

Exemple 1 : Le Centre hospitalier intercommunal de Haute-Comté

Les exemples de cyberattaques récents sont nombreux en France. Dans la nuit du 18 au 19 octobre 2025, le Centre hospitalier intercommunal de Haute-Comté subit une attaque par cryptolocker, un type de rançongiciel. Suite au chiffrement d’une partie de ces données informatiques, la direction de l’établissement décide de mettre son système informatique à l’arrêt complet, afin d’éviter toute propagation.

Pour mener cette attaque, les cybercriminels liés au groupe “Inc Ransom” ont détourné le logiciel de prise de contrôle à distance Anydesk afin de compromettre le système informatique du centre hospitalier. Courante chez les hackers, cette technique appelée “Living off the Land” consiste à s’appuyer sur des logiciels légaux et grand public pour infiltrer les systèmes sans déclencher les antivirus des établissements attaqués.

Si la continuité et la sécurité des soins ont pu être assurées au sein du Centre hospitalier intercommunal de Haute-Comté, l’arrêt total du système informatique a contraint le personnel soignant à revenir aux opérations sur papier : une contrainte chronophage pour le personnel de santé, impactant la prise en charge des patients et la connaissance de leur dossier médical informatisé. La cyberattaque a également eu un impact considérable sur la facturation de l’activité de l’établissement, et par conséquent sur ses recettes.

Exemple 2 : Cyberattaque Cerballiance

Le 25 mars 2026, le réseau français de 700 laboratoires de biologie médicale a subi une cyberattaque par l’intermédiaire d’un serveur hébergé en externe.

De nombreuses données confidentielles ont été divulguées : états civils, numéro de sécurité sociale, comptes rendus d’analyses ou encore identifiants de connexion des patients. Cerballiance a réagi immédiatement en prévenant les autorités compétentes, en désactivant les mots de passe piratés et en demandant la fermeture du serveur infiltré. En parallèle, les patients concernés ont été informés de la fuite de leurs données.

Le réseau de laboratoire avait déjà été victime d’un acte malveillant en mars 2025, signe d’un attrait grandissant des cybercriminels pour les établissements de santé et les données qu’ils détiennent. Cette multiplication d’attaques sur un même prestataire révèle aussi que le niveau de sécurisation des entreprises est menacé par la quantité d’équipements qui intègrent leur réseau, et qui ne sont pas toujours tous maîtrisés.

Exemple 3 : Le logiciel métier MonLogicielMedical.com

À la fin de l’année 2025, le logiciel MonLogicielMedical.com, utilisé par près de 4 000 médecins libéraux, a été victime d’une cyberattaque dévoilant les données de 11 à 15 millions de patients. L’incident concerne environ 1 500 médecins et la majorité des données piratées sont d’ordre administratif (nom, prénom, adresse, numéro de téléphone), mais les données médicales confidentielles de 169 000 patients, inscrites dans le champ “commentaire” des dossiers médicaux, ont aussi été récoltées.

Révélée le 26 février dernier, l’affaire suscite de nombreuses questions sur la gestion des données par Cegedim Santé, la société qui édite MonLogicielMédical.com et qui a déjà été condamnée par la Cnil en septembre 2024, pour avoir traité des données de santé sans autorisation.

Bon à savoir

En 2025, trois franchises de rançongiciels étaient particulièrement actives : Qilin, impliquée dans 21 % des attaques, Akira (9 %) et Lockbit 3.0 (5 %).

Les failles qui expliquent la vulnérabilité du secteur

La fragilité du secteur de la santé face aux attaques cyber s’explique par plusieurs facteurs : un secteur propice à la collecte de données, des mauvaises pratiques de sécurité structurelles et un manque de formation des professionnels de santé face aux risques et à leur gestion.

Des mauvaises pratiques de sécurité structurelles

L’ANSSI remarque un recours régulier aux infostealers, des logiciels qui récoltent les identifiants et les mots de passe des employés directement dans leur navigateur web. Les pirates peuvent ensuite se connecter au VPN de l’hôpital sans difficulté.

Les comptes VPN dépourvus de système de demande d’authentification multifactorielle (MFA) sont aussi une opportunité pour les pirates, qui s’introduisent facilement dans les réseaux internes, car les passerelles sont protégées par un simple mot de passe.

Dans certains cas, les pirates déploient des attaques contre la chaîne logistique ou d’approvisionnement : ces actions consistent à compromettre un tiers (un prestataire, un fournisseur de services logiciels…), afin d’infiltrer le système informatique des hôpitaux. Le développement de la sous-traitance au sein des hôpitaux, pour assurer la gestion des lits ou les dossiers patients par exemple, représente alors un risque : les entreprises ne maîtrisent plus l’intégralité des équipements intégrés aux réseaux, affaiblissant la sécurité des systèmes et offrant aux attaquants des failles dans lesquelles ils peuvent s’engouffrer. L’externalisation des données ainsi que l’utilisation de logiciels en mode Saas (Software as a Service) s’accompagne également d’une hausse des cas de compromission.

La vulnérabilité des équipements de sécurité de bordure tels que les pare-feu[BB1.1], les serveurs mandataires ou encore les passerelles anti-spam, est l’un des principaux facteurs de compromission. Autre point d’entrée privilégié : les interfaces d’administration encore trop souvent exposées sur internet. Les attaquants contournent le système d’autenthification pour obtenir un accès à toutes les données, et restreindre les accès des administrateurs légitimes pour ralentir leur intervention. En France, ce sont plus de 3 700 interfaces d’administration qui sont concernées.

Un manque de formation des professionnels de santé face aux risques

Face à une cyberattaque, les professionnels de santé sont souvent trop peu formés pour réagir. Les réactions précipitées, comme le fait de débrancher brutalement les serveurs d’un data center pour stopper la propagation de l’intrusion, peut parfois causer plus de dommages opérationnels sur le long terme que l’attaque elle-même. En effet, la mise à l’arrêt total de systèmes complexes peut affecter le redémarrage et le fonctionnement des matériels électroniques et des applications.

La formation face aux risques est aussi l’un des points faibles de la sécurité au sein des hôpitaux. Les arnaques au faux support informatique ciblent directement le personnel : les pirates usurpent l’identité d’un technicien et contactent une infirmière ou un agent administratif pour lui demander de télécharger des solutions de prise en main à distance, comme AnyDesk (le logiciel de prise de contrôle à distance utilisé dans l’attaque du Centre hospitalier intercommunal de Haute-Comté en octobre 2025).

Le MFA fatigue fait aussi partie des techniques dites “d’ingéniérie sociale” listées par l’ANSSI pour infiltrer les systèmes informatiques : dans ce cas précis, le pirate bombarde la victime avec des demandes d’authentification multifactorielle jusqu’à ce que celle-ci accepte la demande par inattention.

À lire aussi : Le risque cyber en santé

Bon à savoir

L’ANSSI préconise de réaliser des audits larges qui incluent les prestataires et les sous-traitants, afin d’avoir une vision globale du niveau de sécurité de l’environnement. L’Agence nationale de la sécurité des systèmes d’information rappelle que la mise à jour rapide des correctifs de sécurité fait partie des leviers les plus efficaces face aux risques

offre cyber

Pensé par nos experts cyber en établissement de soins, le cyber checkup vous permet d’obtenir gratuitement une évaluation complète incluant l’état des lieux de vos pratiques, un comparatif avec des établissements similaires, des recommandations ciblées pour orienter votre stratégie de sécurité et votre niveau d’assurabilité.

Obtenir votre diagnostic gratuit

Cyber en santé : quelques chiffres

Une étude menée par l’ANS (l’Agence du numérique en santé) en 2025 établit un état des lieux significatifs sur la sécurité des systèmes informatiques et la formation du personnel face aux risques, dans le privé comme dans le public.

  • 15 % des établissements de santé ont été confrontés à un incident cyber ayant entraîné des perturbations au cours des 3 dernières années (12 % des établissements comptant moins de 100 lits),
  • Seuls 15 % des établissements attaqués estiment avoir été bien préparés au risque,
  • 13 % des établissements n’ayant pas subi d’attaques estiment être bien préparés en cas d’incident,
  • 87 % des directeurs d’établissements ont connaissance du plan de prévention cybersécurité (jusqu’à 97 % dans les établissements privés),
  • Toutefois, la prévention cyber reste marginale dans les budgets informatiques : 60 % des établissements y consacrent moins de 5 % de leur budget d’investissement informatique,
  • 42 % des directeurs déclarent que le budget et les ressources dont ils disposent ne permettent pas d’élaborer un plan de prévention des risques cyber efficace.
  • En cas d’attaque, 84 % des directeurs privilégient la mobilisation rapide d’experts techniques et 74 % favorisent la mise à disposition de matériel pour assurer la continuité.

La directive NIS2

Adoptée en janvier 2023 dans toute l’Europe, la directive NIS2 oblige les États membre à améliorer la cybersécurité au sein des établissements sanitaires et médico-sociaux. Cette directive harmonise les exigences pour mieux protéger les infrastructures et les services au sein de l’Union Européenne. Des exigences élevées qui obligent les établissements concernés à :

  • Formaliser la cybersécurité en impliquant la direction et en nommant un Responsable Sécurité des Systèmes d’Information,
  • Identifier les risques régulièrement et les documenter,
  • Assurer la sécurité opérationnelle à l’aide de systèmes d’authentification fiables, du chiffrement des données ou de dispositifs connectés sécurisés,
  • Créer des procédures de notification des incidents auprès des autorités compétentes et en interne,
  • Anticiper la continuité des activités et la reprise après un incident,
  • Renforcer la sécurité et le niveau de contrôle auprès des prestataires, fournisseurs et sous-traitants.

À lire aussi : Directive NIS2 : ce que doivent savoir les établissements sanitaires et médico-sociaux en France

Le Cyber Resilience Act (CRA)

L’efficacité des mesures de sécurité au sein d’un système d’information dépend largement de la sécurité des produits qui composent ce système. Dans cette optique, dès le 11 septembre 2026, le Cyber Resilience Act imposera aux fournisseurs de produits numériques commercialisés en Europe de signaler toutes les vulnérabilités activement exploitées sur leurs produits, ainsi que tous les incidents pouvant avoir des conséquences sur leur sécurité. Les produits ciblés sont nombreux : caméras de surveillance, équipements informatiques et de télécommunication, ou encore les logiciels utilisés notamment au sein des établissements de santé.
Le CRA franchira un nouveau palier le 11 décembre 2027 avec l’obligation pour les fournisseurs de :

  • Recenser et documenter les vulnérabilités de leurs produits,
  • Corriger ces failles dans les meilleurs délais,
  • Tester régulièrement leurs produits,
  • Communiquer sur les vulnérabilités corrigées à chaque mise à jour,
  • Faciliter le partage d’information sur les failles potentielles de chaque produit.

Avec le CRA, la cybersécurité devient une obligation prise en compte dès la conception du produit, et tout au long de son exploitation pour renforcer la sécurité des systèmes informatiques dans leur globalité.

Références

https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act

https://esante.gouv.fr/sites/default/files/media/document/Resultats-enquete-cyber-2025-ANS.pdf

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2026-CTI-002.pdf

Table des matières

Découvrez nos articles

Afficher tout