Derrière chaque cyberattaque contre un hôpital ou une clinique, il y a une mécanique : des points d’entrée, des systèmes critiques touchés, une désorganisation des soins et un cadre de réponse désormais structuré. En France, quatre établissements de santé seraient victimes de la cybercriminalité chaque jour, et les attaques les plus sérieuses se produisent désormais au rythme d’une par semaine. Cet article décrypte comment les structures de santé françaises sont ciblées, ce qui casse en premier et comment limiter les dégâts.
- Les établissements de santé français subissent en moyenne une attaque sérieuse par semaine, avec des conséquences directes sur la prise en charge des patients.
- Le rançongiciel est le vecteur le plus dévastateur, mais l’hameçonnage reste la porte d’entrée la plus fréquente.
- Les systèmes critiques — dossier patient informatisé, PACS, laboratoire — tombent souvent en quelques heures après la compromission initiale.
- Le CERT Santé, l’ANSSI et les ARS constituent un dispositif de réponse structuré que trop peu d’établissements activent rapidement.
- Sauvegardes testées, segmentation réseau et plan de continuité d’activité sont les trois piliers de la résilience opérationnelle.
Pourquoi la santé est une cible privilégiée en france
Les établissements de santé cumulent des caractéristiques qui en font des cibles de choix pour les cybercriminels. La première est la valeur intrinsèque des données qu’ils détiennent. Un dossier médical complet — données d’identité, antécédents, prescriptions, résultats biologiques, imagerie — se revend sur le marché noir à un prix sans commune mesure avec une simple carte bancaire. Ces données permettent des usurpations d’identité durables, des fraudes à l’assurance et du chantage ciblé. La revente de données de santé sur le dark web constitue une motivation économique directe pour des groupes criminels organisés.
La deuxième caractéristique est la pression sur la continuité des soins. Un hôpital ne peut pas s’arrêter. Contrairement à une entreprise qui peut suspendre ses opérations le temps de la remédiation, un établissement de santé doit maintenir les urgences, les blocs opératoires, la réanimation. Cette contrainte absolue pousse certains établissements à envisager le paiement d’une rançon comme seule issue rapide, ce qui alimente le modèle économique des attaquants.
La surface d’attaque des structures de santé est également considérable. Les hôpitaux publics, les cliniques, les EHPAD, les cabinets médicaux et les laboratoires de biologie opèrent avec des parcs informatiques hétérogènes, souvent anciens, connectés à des dispositifs médicaux dont les systèmes d’exploitation ne peuvent pas être mis à jour sans validation réglementaire. Cette impossibilité de patcher certains équipements crée des vulnérabilités persistantes et connues des attaquants.
Les contraintes budgétaires aggravent la situation. Les équipes informatiques hospitalières sont fréquemment sous-dimensionnées par rapport à la complexité des systèmes à gérer. La sécurité informatique est souvent traitée comme une dépense plutôt que comme un investissement stratégique, et les postes dédiés à la cybersécurité restent rares dans les établissements de taille moyenne. Les motivations des attaquants vont au-delà du simple gain financier : sabotage, espionnage étatique et, dans des scénarios extrêmes, cyberterrorisme ont également été évoqués comme hypothèses par les analystes du secteur.
| Type de structure | Facteurs de vulnérabilité principaux | Données exposées |
|---|---|---|
| Hôpitaux publics | SIH complexe, parc ancien, équipes réduites | DMP, DPI, PACS, données RH |
| Cliniques privées | Interconnexions prestataires, télémédecine | Données patients, facturation |
| EHPAD | Peu de ressources IT, connexions multiples | Données résidents, prescriptions |
| Cabinets médicaux | Logiciels non mis à jour, messagerie non sécurisée | Dossiers patients, ordonnances |
| Laboratoires de biologie | Interconnexions SIH et ville, résultats en ligne | Résultats biologiques, identité |
Cette combinaison — valeur des données, contrainte opérationnelle, surface d’attaque étendue et moyens limités — explique pourquoi le secteur de la santé concentre une part croissante des incidents cyber en France. Comprendre les vecteurs d’attaque concrets est l’étape suivante pour saisir comment les attaquants exploitent ces failles.
Les modes d’attaque les plus fréquents en milieu hospitalier
L’hameçonnage reste la porte d’entrée la plus commune. Un courriel imitant un fournisseur, une caisse d’assurance maladie ou même un collègue interne suffit à convaincre un agent de cliquer sur un lien ou d’ouvrir une pièce jointe piégée. Dans un environnement hospitalier où les agents reçoivent des dizaines de messages urgents par jour — résultats, prescriptions, demandes d’admission — la vigilance individuelle est difficile à maintenir en permanence. La compromission de messagerie professionnelle, parfois appelée BEC, permet ensuite à l’attaquant d’opérer depuis un compte légitime, ce qui rend la détection encore plus complexe.
Les accès distants mal sécurisés constituent un deuxième vecteur majeur. Le recours massif au télétravail et à la télémaintenance a multiplié les connexions VPN, les bureaux distants et les accès prestataires. Lorsque ces accès ne sont pas protégés par une authentification multifacteur, ils deviennent des cibles directes. Un identifiant volé ou deviné par force brute suffit à ouvrir la porte du système d’information hospitalier (SIH).
Les vulnérabilités non corrigées représentent un troisième angle d’attaque systématique. Les groupes criminels scannent en permanence internet à la recherche de versions logicielles connues pour être vulnérables. Dans un établissement où certains équipements médicaux tournent sur des systèmes d’exploitation obsolètes — parce que le fabricant n’a pas fourni de mise à jour compatible — ces failles sont exploitables sans effort particulier.
Les prestataires et sous-traitants constituent enfin un maillon souvent négligé. Un prestataire de maintenance, un éditeur de logiciel métier ou un intégrateur réseau ayant accès au SIH peut lui-même être compromis, et son accès légitime utilisé comme pivot. L’attaque d’août 2019 contre un groupe privé de plus de 120 hôpitaux, cliniques et centres de radiothérapie illustre cette logique : les serveurs d’infrastructure et les messageries ont été paralysés via une chaîne d’interconnexions, même si les données patients et le matériel médical n’ont pas été directement atteints dans ce cas.
- Hameçonnage : courriel frauduleux ciblant agents administratifs et soignants
- Compromission de messagerie : prise de contrôle d’un compte légitime pour pivoter dans le réseau
- Accès distant non sécurisé : VPN sans MFA, bureau à distance exposé
- Vulnérabilités non corrigées : systèmes anciens, équipements médicaux non patchables
- Attaque par la chaîne d’approvisionnement : compromission via un prestataire ou un éditeur
- Rançongiciel : chiffrement des données suivi d’une demande de rançon
Le rançongiciel mérite une attention particulière. Il ne s’agit pas d’un vecteur d’entrée mais d’une charge finale : une fois l’attaquant présent dans le réseau, il déploie un logiciel qui chiffre les données et les systèmes, puis exige une rançon en échange d’une clé de déchiffrement. L’attaque contre le centre hospitalier sud francilien de Corbeil-Essonnes en août 2022 en est l’exemple le plus médiatisé en France : blocage complet des systèmes informatiques, paralysie des opérations, perturbation directe des soins et une demande de rançon annoncée à 10 millions de dollars. Ces scénarios illustrent pourquoi la progression d’une attaque dans le SIH mérite d’être examinée en détail.
Ce qui est touché en premier: systèmes critiques et chaîne de soins
La progression d’une attaque dans un système d’information hospitalier suit une logique de latéralisation : l’attaquant entre par un point faible, puis se déplace vers les ressources les plus critiques. La première cible est presque toujours l’annuaire central (Active Directory) et les postes de travail. En prenant le contrôle de l’annuaire, l’attaquant obtient les clés du royaume : il peut créer des comptes, élever ses privilèges et se propager sur l’ensemble du réseau sans déclencher d’alerte.
Le dossier patient informatisé (DPI) est atteint rapidement. C’est le système nerveux de la prise en charge : admissions, prescriptions, résultats, comptes rendus opératoires. Son indisponibilité contraint immédiatement les équipes soignantes à revenir au papier, avec tout ce que cela implique en termes de lenteur, d’erreurs potentielles et de surcharge cognitive. L’accès au DMP (dossier médical partagé) peut également être coupé, privant les praticiens d’informations cruciales sur les antécédents des patients.
Le PACS (système d’archivage et de communication des images médicales) est une autre cible de premier plan. Radios, scanners, IRM : sans accès aux images, les diagnostics sont retardés, les blocs opératoires peuvent être déprogrammés et les urgences fonctionnent à l’aveugle. En décembre 2022, l’attaque contre l’hôpital André-Mignot de Versailles a conduit à couper l’ensemble du système informatique et des communications téléphoniques pour stopper la propagation, avec pour conséquence directe une forte perturbation du fonctionnement et la consigne donnée aux habitants d’appeler le 15 plutôt que de se rendre aux urgences.
Les systèmes de laboratoire de biologie, les logiciels d’admission et de facturation, la téléphonie sur IP et les dispositifs médicaux connectés complètent le tableau. Un automate de biologie piloté par un logiciel dépendant du réseau peut s’arrêter, retardant des résultats urgents. Les pompes à perfusion connectées, les moniteurs de surveillance ou les systèmes de gestion des lits peuvent devenir inaccessibles ou se comporter de façon imprévisible.
L’indisponibilité est souvent plus immédiate et plus visible que l’exfiltration. Un établissement peut ne pas savoir pendant des jours que des données ont été copiées, mais il sait en quelques minutes que son DPI est inaccessible. C’est cette asymétrie qui rend les rançongiciels particulièrement redoutables dans le secteur de la santé : ils frappent la continuité des soins avant même que la question du vol de données ne se pose. Les conséquences de cette désorganisation sont multiples et durables.
Conséquences: soins, données, finances et réputation
Les conséquences opérationnelles d’une cyberattaque majeure dans un établissement de santé s’enchaînent avec une rapidité déconcertante. Les déprogrammations d’interventions chirurgicales, les reports de consultations et les transferts de patients vers d’autres établissements surviennent dans les premières heures. Le retour au papier mobilise un temps considérable des équipes soignantes et administratives, au détriment direct de la prise en charge. La saturation des établissements voisins, contraints d’absorber les patients redirigés, crée un effet de vague sur l’ensemble du territoire.
Sur le plan des données, deux catégories sont en jeu. Les données d’identité — nom, prénom, date de naissance, numéro de sécurité sociale, adresse — permettent des usurpations d’identité et des fraudes. Les données de santé stricto sensu — diagnostics, traitements, résultats biologiques, imagerie — sont protégées par un régime juridique renforcé et leur divulgation peut avoir des conséquences graves pour les patients : discrimination à l’assurance, chantage, atteinte à la vie privée. Le risque de vol de données est réel même lorsque l’attaquant n’a pas encore déployé son rançongiciel : l’exfiltration précède souvent le chiffrement dans les attaques sophistiquées.
Les coûts financiers sont considérables. La remédiation technique — reconstruction des systèmes, restauration des sauvegardes, audit forensique — se chiffre en centaines de milliers, voire en millions d’euros selon la taille de l’établissement. S’y ajoutent les coûts de prestataires spécialisés en réponse à incident, les pertes liées à l’activité non réalisée, et les éventuelles sanctions réglementaires. Certains professionnels de santé ont commencé à souscrire des assurances cyber pour couvrir une partie de ces risques.
La réputation de l’établissement est également en jeu. La communication de crise mal gérée, les informations contradictoires et la durée prolongée de la perturbation alimentent la défiance des patients et des partenaires. Les obligations légales de notification — envers la CNIL, envers les personnes concernées — imposent une transparence qui peut amplifier l’impact médiatique.
- Déprogrammation d’interventions et reports de consultations
- Retour au papier et surcharge des équipes
- Transferts de patients vers d’autres établissements
- Blocage de l’accès aux résultats d’examens, à l’imagerie, aux comptes rendus
- Risque de vol et de revente de données de santé et d’identité
- Coûts de remédiation, pertes d’activité, sanctions potentielles
- Atteinte à la réputation et perte de confiance des patients
Ces impacts ne restent pas confinés aux murs de l’établissement attaqué. Ils se propagent à l’ensemble de l’écosystème local de santé et au-delà.
Effets en chaîne sur les collectivités et l’écosystème local
Une cyberattaque contre un hôpital public ne frappe pas seulement l’établissement : elle désorganise un territoire. La coopération ville-hôpital repose sur des échanges informatiques permanents — prescriptions électroniques, comptes rendus d’hospitalisation, résultats de biologie transmis aux médecins de ville. Lorsque le SIH tombe, ces flux s’interrompent. Les médecins libéraux, les pharmaciens et les infirmiers à domicile se retrouvent sans information fiable sur leurs patients communs.
Les services d’urgences des établissements voisins subissent une pression immédiate. Les patients redirigés depuis l’établissement attaqué arrivent sans dossier numérique, parfois sans résumé papier, dans des services déjà sous tension. Les transports sanitaires — SAMU, ambulanciers, pompiers — doivent adapter leurs protocoles en temps réel, avec des communications parfois dégradées si la téléphonie de l’établissement est également touchée.
Les EHPAD et établissements médico-sociaux connectés au même réseau régional ou au même prestataire informatique peuvent être entraînés dans la perturbation. Les résidents âgés, souvent polypathologiques, dépendent de prescriptions et de suivis biologiques réguliers : toute rupture dans la chaîne informatique se traduit par un risque clinique réel. Les attaques de septembre et octobre 2022 à Charleville-Mézières illustrent comment deux établissements d’un même territoire peuvent être frappés successivement, obligeant les autorités sanitaires locales à activer des cellules de crise répétées.
Les services municipaux ne sont pas épargnés. Certaines communes gèrent des centres de santé ou des services de soins à domicile interconnectés avec les systèmes hospitaliers. Les services de protection maternelle et infantile, les centres de vaccination et les structures de santé scolaire peuvent voir leurs accès aux dossiers partagés coupés. La désorganisation dépasse ainsi le périmètre sanitaire strict pour affecter des fonctions de service public essentielles.
Cette propagation territoriale souligne l’importance d’une réponse coordonnée dès les premières heures de la crise, bien au-delà des seuls informaticiens de l’établissement touché.
Gestion de crise: quoi faire dans les premières heures
Les premières heures d’une cyberattaque sont décisives. Chaque minute d’hésitation laisse l’attaquant progresser dans le réseau. La première action est l’isolement : déconnecter les systèmes compromis du réseau pour stopper la propagation latérale. Cela peut signifier couper l’accès internet, désactiver des connexions inter-sites ou isoler des segments entiers. L’hôpital André-Mignot de Versailles a appliqué cette logique en coupant l’ensemble du système informatique et des communications téléphoniques dès la détection de l’attaque en décembre 2022.
L’arrêt maîtrisé des systèmes doit être distingué d’une coupure brutale. Certains systèmes — ventilateurs, moniteurs de surveillance, pompes — ne doivent pas être interrompus sans protocole médical préalable. La décision d’isolement doit donc être prise conjointement par la direction des systèmes d’information et la direction médicale, avec une hiérarchisation claire des systèmes critiques à préserver.
Le maintien de l’activité en mode dégradé doit être anticipé bien avant la crise. Cela signifie disposer de procédures papier à jour, de listes de contacts téléphoniques hors réseau, de stocks de formulaires et d’une organisation claire des responsabilités en l’absence des outils numériques. L’activation du plan de continuité d’activité (PCA) formalise ce basculement.
La préservation des preuves est une exigence souvent négligée dans l’urgence. Les journaux système, les captures réseau et les images disque des machines compromises sont indispensables pour l’enquête judiciaire et pour comprendre le vecteur d’attaque. Éteindre brutalement les machines peut détruire des éléments volatils essentiels. Un prestataire spécialisé en forensique numérique doit être contacté rapidement.
- Isoler les systèmes compromis sans interrompre les dispositifs médicaux critiques
- Activer le PCA et basculer en mode dégradé avec procédures papier
- Préserver les preuves : journaux, captures, images disque avant toute remédiation
- Communiquer en interne : informer les équipes soignantes, administratives et la direction
- Arbitrer médicalement : identifier les patients à risque nécessitant un transfert ou une surveillance renforcée
- Contacter les autorités : CERT Santé, ARS, forces de l’ordre
- Préparer le plan de reprise d’activité (PRA) pour la restauration progressive des systèmes
La communication externe doit être contrôlée et cohérente. Les patients, les médecins partenaires et les médias ne doivent pas recevoir d’informations contradictoires. Une cellule de crise unique, avec un porte-parole désigné, est indispensable. Les critères d’activation du plan de reprise d’activité (PRA) — restauration des sauvegardes, reconstruction des systèmes, tests de validation — doivent être définis à l’avance et non improvisés sous pression. La connaissance des dispositifs publics d’appui est alors un atout décisif.
Signalement et appuis: cert santé, ministère, ars et anssi
Le dispositif français de réponse aux cyberattaques en santé est structuré, mais encore trop peu d’établissements le connaissent et l’activent dans les délais utiles. Le CERT Santé (Computer Emergency Response Team dédié au secteur santé) est l’interlocuteur technique de premier niveau. Opéré sous l’égide du ministère de la santé, il assure une veille permanente, publie des alertes sur les menaces en cours et apporte un appui technique aux établissements victimes. Son activation doit être réflexe dès la détection d’un incident significatif.
Le signalement auprès du ministère de la santé s’effectue via la plateforme dédiée aux incidents de sécurité des systèmes d’information de santé. Ce signalement est obligatoire pour les établissements de santé dès lors que l’incident est susceptible d’avoir un impact sur la sécurité des soins ou sur la confidentialité des données. Il doit être réalisé dans les meilleurs délais, sans attendre d’avoir une vision complète de l’attaque.
Les ARS (agences régionales de santé) jouent un rôle de coordination territoriale. Elles peuvent mobiliser des ressources supplémentaires, faciliter les transferts de patients vers d’autres établissements et activer des plans de continuité à l’échelle régionale. Leur implication est particulièrement précieuse lorsque plusieurs établissements d’un même territoire sont touchés simultanément ou successivement.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) intervient sur les incidents les plus graves, notamment ceux touchant des opérateurs de services essentiels (OSE) ou des infrastructures critiques. Son appui technique est mobilisable pour les investigations forensiques et la coordination nationale. L’articulation entre CERT Santé et ANSSI est formalisée, avec des circuits de remontée d’information définis.
Pour un signalement efficace, il est utile de préparer à l’avance les éléments suivants :
- Nom et coordonnées de l’établissement et du responsable de la sécurité des systèmes d’information (RSSI)
- Date et heure de détection de l’incident
- Nature des systèmes touchés (DPI, PACS, messagerie, etc.)
- Impact constaté sur les soins et sur les données
- Mesures déjà prises (isolation, coupures, activation du PCA)
- Présence ou absence d’une demande de rançon
Un dépôt de plainte auprès des forces de l’ordre (gendarmerie ou police nationale, selon la compétence territoriale) doit également être effectué rapidement pour permettre l’ouverture d’une enquête judiciaire. Ces signalements ne sont pas des formalités administratives : ils déclenchent des appuis concrets et permettent une meilleure coordination nationale face à des attaquants qui, eux, opèrent de façon coordonnée. La prévention reste cependant le levier le plus efficace.
Réduire le risque: mesures prioritaires et formation des équipes
La première mesure à fort impact est la mise en place de sauvegardes testées, régulières et déconnectées du réseau principal. Une sauvegarde non testée est une sauvegarde dont on ignore si elle fonctionne. Les établissements doivent organiser des tests de restauration réguliers, documenter les résultats et s’assurer que les sauvegardes sont stockées dans un environnement physiquement et logiquement isolé du SIH principal. Sans cette mesure, le plan de reprise d’activité n’est qu’un document théorique.
La segmentation réseau est le deuxième pilier. Un réseau plat, où tous les systèmes communiquent librement entre eux, permet à un attaquant ayant compromis un poste de se propager sans obstacle. La segmentation consiste à diviser le réseau en zones étanches — réseau clinique, réseau administratif, réseau des dispositifs médicaux, réseau invité — avec des contrôles stricts sur les flux autorisés entre ces zones. Elle ne stoppe pas l’entrée d’un attaquant, mais elle ralentit considérablement sa progression et limite les dégâts.
L’authentification multifacteur (MFA) doit être déployée sur tous les accès distants et sur les comptes à privilèges. Un identifiant et un mot de passe seuls ne suffisent plus. Le durcissement des accès distants — suppression des accès inutiles, révision régulière des droits des prestataires, traçabilité des connexions — est indissociable du MFA.
La gestion des correctifs (patch management) doit être structurée et documentée. Pour les équipements médicaux ne pouvant pas être mis à jour, des compensations techniques — isolation réseau renforcée, surveillance accrue — doivent être mises en place. L’inventaire exhaustif des actifs numériques est le préalable indispensable : on ne peut pas protéger ce qu’on ne connaît pas.
- Sauvegardes testées et déconnectées (règle 3-2-1 recommandée)
- Segmentation réseau entre zones cliniques, administratives et dispositifs médicaux
- MFA sur tous les accès distants et comptes privilégiés
- Gestion des correctifs avec compensations pour les systèmes non patchables
- Inventaire des actifs et cartographie des flux
- Supervision et détection des anomalies (SIEM, SOC)
- Gestion rigoureuse des accès prestataires
- Exercices de crise réguliers incluant le mode dégradé
- Sensibilisation et formation cybersécurité de l’ensemble du personnel
La formation des équipes est souvent le maillon le plus négligé. L’hameçonnage cible les agents, pas les serveurs. Un soignant qui reconnaît un courriel frauduleux et le signale au lieu de cliquer représente une ligne de défense réelle. Des exercices de simulation d’hameçonnage, des formations courtes et régulières, et une culture de signalement sans blame sont des investissements à faible coût et à fort rendement. La gouvernance de la cybersécurité — avec un RSSI identifié, des instances de pilotage et une intégration dans le projet d’établissement — conditionne l’efficacité de toutes ces mesures. Le cadre légal vient formaliser ces exigences.
Cadre légal: rgpd, obligations de sécurité et responsabilités
Le RGPD impose aux établissements de santé, en tant que responsables de traitement de données sensibles, de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. Cette obligation est renforcée pour les données de santé, qui constituent une catégorie particulière au sens de l’article 9 du règlement. La mise en conformité n’est pas une option : elle se traduit en exigences opérationnelles concrètes — chiffrement, contrôle des accès, traçabilité, gestion des droits.
En cas de violation de données personnelles — ce qui inclut toute cyberattaque ayant entraîné un accès non autorisé à des données — l’établissement doit notifier la CNIL dans un délai de 72 heures à compter de la prise de connaissance de l’incident. Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent également être informées dans les meilleurs délais. Cette double obligation de notification impose une organisation de crise rodée et une documentation précise des incidents.
Les sous-traitants — éditeurs de logiciels, hébergeurs de données de santé, prestataires de maintenance — sont soumis à des obligations spécifiques. Le contrat qui les lie à l’établissement doit inclure des clauses de sécurité conformes au RGPD, et leur responsabilité peut être engagée en cas de manquement. L’hébergement de données de santé est en outre soumis à une certification spécifique (HDS), dont la vérification est une obligation pour les établissements qui externalisent leurs systèmes.
Les risques de sanctions sont réels. La CNIL peut prononcer des amendes administratives, des mises en demeure et des injonctions de mise en conformité. Au-delà des sanctions financières, la responsabilité civile et pénale des dirigeants peut être engagée en cas de négligence caractérisée dans la protection des données. L’ANSSI peut également imposer des exigences renforcées aux établissements classés opérateurs de services essentiels.
La conformité au RGPD et aux obligations sectorielles n’est pas un exercice administratif déconnecté de la réalité opérationnelle. Elle structure les politiques de sécurité, impose la tenue d’un registre des traitements, exige des analyses d’impact pour les traitements à risque et oblige à documenter les décisions de sécurité. Un établissement qui a formalisé ces éléments avant une attaque est mieux armé pour répondre efficacement et démontrer sa bonne foi auprès des autorités de contrôle.
FAQ
Conséquences d’une cyberattaque dans une structure de santé ?
Une cyberattaque entraîne des déprogrammations d’interventions, un retour au papier, des transferts de patients, un blocage d’accès aux dossiers et aux résultats d’examens, un risque de vol de données de santé et d’identité, des coûts de remédiation élevés et des obligations de notification auprès de la CNIL et des patients concernés.
Secteurs les plus touchés par les cyberattaques ?
Le secteur de la santé figure parmi les cibles les plus fréquentes en France, avec les hôpitaux publics, les cliniques privées, les EHPAD, les laboratoires de biologie et les cabinets médicaux. La valeur des données de santé, la contrainte de continuité des soins et la complexité des systèmes d’information en font des cibles prioritaires pour les groupes criminels.
Quels sont les impacts des cyberattaques sur les collectivités ?
Une attaque contre un établissement de santé perturbe l’ensemble de l’écosystème territorial : médecins de ville privés d’accès aux dossiers partagés, urgences voisines saturées par les patients redirigés, EHPAD déconnectés de leurs systèmes de suivi, et services municipaux de santé affectés par les interruptions des flux d’information.
Quelle est la menace croissante des cyberattaques contre les hôpitaux ?
En France, quatre établissements de santé seraient victimes de la cybercriminalité chaque jour, avec une attaque sérieuse par semaine. Les rançongiciels, l’hameçonnage et les accès distants non sécurisés sont les vecteurs dominants. La valeur des données médicales, la pression sur la continuité des soins et les contraintes budgétaires des établissements alimentent cette menace structurelle.
La cybersécurité en santé n’est plus une question technique réservée aux DSI : c’est une composante de la qualité et de la sécurité des soins. Les établissements qui anticipent — sauvegardes, segmentation, formation, PCA — traversent les crises. Les autres les subissent.
