Logo du site Relyens
Sélectionner votre langue :

Vous êtes

Les mots-clés les plus recherchés

Accueil Ressources Articles de blog Cybersécurité Évaluation du risque cyber dans les établissements de santé : comment procéder ? 

Évaluation du risque cyber dans les établissements de santé : comment procéder ? 

Les experts Relyens

Publié le
Modifié le
Temps de lecture : 10 minutes
évaluation risque cyber

Face à une menace cyber grandissante, le secteur de la santé se trouve aujourd’hui en première ligne. Hôpitaux, cliniques, établissements médico-sociaux : aucun acteur n’est épargné. Les cyberattaques, désormais quasi quotidiennes, peuvent avoir des conséquences graves, qu’elles soient humaines, organisationnelles ou financières.

Dans les établissements de santé, les DSI et RSSI le savent mieux que quiconque : la cybersécurité est devenue un exercice d’équilibriste permanent. Pression réglementaire (NIS2), multiplication des menaces, systèmes parfois vieillissants, manque de ressources humaines, contraintes opérationnelles fortes…

Le cyber en santé se gère souvent dans l’urgence, avec des moyens limités et une exigence maximale de continuité de soins. Dans ce contexte, beaucoup d’établissements ont fait ce qu’ils ont pu : renforcer les outils, ajouter des briques de sécurité, répondre aux exigences les plus visibles. Mais sur le terrain, une vérité s’impose lors des crises réelles : les outils seuls ne suffisent pas.

Dans ce contexte, il est essentiel que les dirigeants d’établissements de santé, en collaboration étroite avec les responsables de la sécurité des systèmes d’information (RSSI), mettent en place une politique d’évaluation du risque cyber dans les établissements de santé. Leur objectif : maîtriser leur risque cyber. Mais pour agir efficacement, encore faut-il disposer d’une vision précise de leur exposition : comment évaluer les vulnérabilités ? Estimer les impacts potentiels ? Mesurer la capacité de défense actuelle ?

Qu’est-ce que l’évaluation des risques de cybersécurité ?  

L’évaluation des risques de cybersécurité consiste à identifier, analyser et hiérarchiser les menaces et vulnérabilités susceptibles d’affecter les systèmes d’information d’un établissement de santé. Cette démarche permet de déterminer les scénarios d’attaque les plus probables, d’en évaluer les conséquences potentielles, qu’elles soient humaines, organisationnelles ou financières, et de mesurer la capacité de défense existante.

L’objectif est d’obtenir une vision claire de l’exposition aux risques afin de prioriser les actions correctives à mettre en œuvre, renforcer la sécurité des patients et garantir la continuité des soins. L’évaluation des risques cyber est un processus structurant, indispensable pour orienter les décisions stratégiques et accroître la résilience de l’établissement face à un environnement numérique de plus en plus menaçant.. 

Bon à savoir

Cette approche est aussi communément appelée de l’analyse de risque ; elle est recommandée par toutes les méthodes, voire impérative dans le cadre des certifications ISO. 

Évaluer le risque cyber dans les établissements de santé : un enjeu pour les dirigeants des établissements de santé 

Lorsqu’une cyberattaque touche un établissement de santé, elle menace le fonctionnement de la structure et la sécurité des patients. Ces conséquences se manifestent à plusieurs niveaux : 

  1. Sur le plan médical : interruption des soins, impossibilité d’accéder aux dossiers patients, report ou annulation d’actes critiques. 
  1. Sur le plan organisationnel : mise en place de procédures en mode dégradé, désorganisation des équipes, surcharge du personnel. 
  1. Sur le plan financier : coûts de remédiation, perte d’exploitation, investissement non anticipé en urgence. 
  1. Sur le plan juridique et réglementaire : atteintes à la confidentialité des données de santé, sanctions potentielles liées au non-respect du RGPD. 
  1. Sur le plan de la confiance : perte de crédibilité auprès des patients, des partenaires et des autorités. 

Face à ces risques, il est impératif de mettre en place des moyens adaptés pour l’évaluation du risque cyber dans les établissements de santé. Mais quels moyens choisir ? Tout dépend du contexte propre à chaque structure : son exposition aux menaces, son organisation interne, et son niveau de maturité en cybersécurité. 

Bon à savoir

Lorsqu’une cyberattaque survient, elle ne respecte ni les horaires, ni les plannings. Elle éclate souvent la nuit, le week-end, dans des moments où les équipes sont réduites. À ce moment-là, la question est de savoir ce qu’il faut faire en priorité, qui décide, et qui peut les assister dans ce moment de crise.

C’est dans ces situations de crise que sont découvertes des fragilités pressenties sans toujours pouvoir être objectivées : PCA peu testés, dépendance forte à des prestataires externes, métiers peu sensibilisés, capacité de réaction sous-estimée.

Quels sont les indicateurs de mesure nécessaires pour maîtriser le risque cyber ?

 Les dirigeants d’établissement et leur responsable de la sécurité des systèmes d’information (RSSI) ont besoin de : 

  1. Comprendre, analyser et appréhender le risque cyber pour savoir le gérer
  1. Estimer le niveau d’exposition, calibrer les zones à risque en fonction des scenarios d’attaque, 
  1. Sensibiliser et aider la prise de décision, 
  1. Définir des mesures de prévention et de défense permettant de réduire le risque au maximum, 
  1. Aider à la priorisation des investissements à réaliser en cybersécurité, 
  2. Augmenter in fine la résilience de leur établissement. 

Bon à savoir

Ces indicateurs de mesure permettent de disposer d’une évaluation fine de son environnement, d’une bonne compréhension du risque, pour in fine dégager une politique de cybersécurité efficace et rentable. 

Une aide à l’évaluation des risques cyber ? 

Côté DSI / RSSI, la défiance vis-à-vis de l’assurance cyber est compréhensible.

La peur du non-paiement, la complexité des questionnaires, la crainte qu’une incohérence remette tout en cause… ces questions reviennent régulièrement.

Dans les faits, chez Relyens, chaque sinistre est analysé de façon ciblée pour assurer une prise en charge proportionnée et juste. Mais encore faut-il disposer d’une vision claire de son propre niveau de préparation. Sans cela, l’assurance est vécue comme une contrainte supplémentaire, au lieu d’un soutien.

Le vrai enjeu : prioriser sans s’épuiser

Avec des ressources limitées, le rôle du DSI / RSSI n’est pas de tout sécuriser. Il est de réduire le risque réel, là où il est le plus critique pour l’établissement.

Sans diagnostic partagé, les arbitrages sont difficiles, la pression constante, et le cyber devient un sujet subi plutôt que piloté.

offre cyber

Le Cyber Check-up proposé par Relyens a été conçu pour répondre à cette réalité terrain. Il permet de :

  • Objectiver la maturité cyber réelle,
  • Identifier les vulnérabilités principales,
  • Poser une priorisation d’actions
  • Préparer la discussion assurantielle sur des bases saines.

Il ne s’agit pas d’un audit de plus, mais d’un outil pragmatique pour prioriser la feuille de reoute cyber.

Demander votre diagnostic cyber gratuit

« L’approche Relyens s’est distinguée par sa compréhension fine de nos contraintes et par des recommandations immédiatement actionnables. »

Photo de profil

Olivier VANTORRE

DSO de l’Institut de Cancérologie de l’Ouest (ICO) 

L’intérêt de notre approche : améliorer la cybersécurité de l’établissement et sécuriser la prise en charge des patients 

En situation de crise, ne pas être seul fait toute la différence. L’intérêt d’un diagnostic du risque cyber est d’améliorer la maturité cyber de l’établissement et sa résilience face aux risques numériques. Un environnement numérique maîtrisé participe à garantir la continuité des soins.  

Une assurance cyber efficace, en santé, ne se limite pas à une indemnisation. Elle apporte une assistance immédiate, structurée, mobilisable à tout moment. Pour un DSI / RSSI, c’est souvent là que se joue la différence : savoir que, le jour où tout bascule, une équipe experte est là, sans improvisation.

Les établissements de santé, tous concernés par les risques cyber 

Les établissements de santé font face à une menace cyber croissante. En 2022, le ministère de la Santé et l’Agence du Numérique en Santé (ANS) estimaient que plus d’un tiers des structures (39%) ont dû passer en mode de fonctionnement dégradé suite à un incident.  

En 2023, la situation s’est stabilisée. Le nombre total d’incidents a légèrement baissé (581 signalements, soit –2%), et la proportion d’incidents malveillants est restée stable (50%). Un peu moins d’un tiers des structures (32%) ont dû adapter leur fonctionnement, contre 39 % l’an précédent, ce qui témoigne d’une résilience croissante. Le CERT Santé a également renforcé son soutien, en apportant un appui technique et en multipliant les audits et interventions préventives. 

L’année 2024 marque une augmentation du nombre de signalements, avec 749 incidents déclarés (+29% par rapport à 2023). Cette hausse ne reflète pas nécessairement une aggravation de la situation, mais plutôt de meilleures sensibilisation et appropriation des dispositifs de détection et de signalement. Les incidents majeurs ont reculé : sur les 40 incidents de ransomware signalés, seuls 4 ont conduit à une compromission majeure.  

Les attaques par rançongiciels ont augmentés de 28% de 2023 à 2024, et concernent majoritairement des établissements publics et des ESMS. Ces établissements ont connu des modes de fonctionnement dégradés étalés sur plusieurs semaines. Leur surexposition au risque s’explique notamment par les interconnexions avec des structures extérieures. Par ailleurs, les incidents ayant eu un impact sur la prise en charge des patients ont augmenté de 13% en 2024. 19% de ces incidents avaient une origine malveillante.  

FAQ  

Pourquoi les établissements de santé sont-ils particulièrement exposés aux risques cyber ? 

Les établissements de santé manipulent des données sensibles, souvent vitales pour la prise en charge des patients. Leur forte dépendance aux systèmes numériques (DPI, objets connectés, réseaux interconnectés…) les rend vulnérables. Cette exposition en fait une cible privilégiée pour les cyberattaques, notamment les ransomwares. 

Quelles sont les conséquences d’une cyberattaque pour un hôpital ou une clinique ? 

Une cyberattaque peut avoir des impacts graves : interruption des soins ou passage en mode dégradé, perte d’accès aux dossiers médicaux, atteinte à la confidentialité des données, coûts financiers importants (remédiation, pertes d’activité), perte de confiance des patients et partenaires. Elle peut aussi directement compromettre la sécurité des patients. 

Comment évaluer l’exposition d’un établissement de santé au risque cyber ? 

Notre offre cyber check-up est une méthodologie d’évaluation de la maturité cyber d’un établissement, basée sur environ 70 points de contrôle. Il est adapté au secteur de la santé et couvre les principaux enjeux d’une stratégie de cybersécurité, allant de l’organisation et des politiques de sécurité à la continuité d’activité et la gestion d’incidents. 

Comment ce diagnostic cyber aide-t-elle à améliorer la sécurité des patients ? 

Une meilleure maîtrise du risque cyber permet de garantir la disponibilité des systèmes critiques pour les soins, d’anticiper les crises et éviter les interruptions d’activité, de sécuriser les données de santé, de renforcer la résilience globale de l’établissement. 

Peut-on transférer le risque cyber à Relyens ? 

Oui, mais uniquement après avoir évalué le risque résiduel. Grâce à notre offre cyber check-up, les établissements peuvent souscrire à des garanties adaptées, basées sur leur profil réel d’exposition. Cela permet de compléter efficacement leur stratégie de cybersécurité. 

Table des matières

Découvrez nos articles

Afficher tout