Cyberattaques contre les hôpitaux : l'ampleur de la menace en chiffres
Les cyberattaques contre les hôpitaux français ne sont plus des faits isolés. Depuis 2020, le secteur de la santé est devenu une cible prioritaire pour les groupes cybercriminels. Les rapports du CERT Santé et de l'ANSSI dressent un constat sans appel : la menace est structurelle, les impacts sont lourds, et la réponse des établissements reste inégale.
Quelques chiffres permettent de mesurer l'ampleur du problème :
- 581 incidents de sécurité déclarés au CERT Santé en 2023, après 592 en 2022
- Plus de 580 incidents déclarés en 2024, confirmant un plateau à un niveau historiquement élevé
- Le secteur de la santé représente l'un des premiers secteurs visés par les rançongiciels en France selon le panorama annuel de l'ANSSI
- Un dossier médical se négocie entre 250 et 1 000 dollars sur le dark web, soit 10 à 50 fois plus qu'un numéro de carte bancaire
- Le coût d'une attaque majeure dépasse régulièrement les 5 millions d'euros pour un seul établissement
Ces chiffres traduisent une réalité que les directeurs généraux et les DSI ne peuvent plus ignorer. Chaque incident génère des conséquences en cascade : déprogrammation de soins, transferts de patients, retour au papier, fuite de données personnelles, atteinte à la confiance des usagers.
Timeline des incidents majeurs (2020-2025)
L'analyse chronologique des attaques les plus marquantes révèle une montée en puissance progressive, tant dans la fréquence que dans la sophistication des offensives.
2020-2021 : les premières alertes majeures
Février 2021, Centre Hospitalier de Dax. Le CH de Dax est frappé par un rançongiciel qui paralyse l'ensemble du système d'information. Les écrans affichent un message de demande de rançon. L'hôpital bascule en mode dégradé total : dossiers papier, prescriptions manuscrites, communications par téléphone. Le retour à un fonctionnement normal prendra plusieurs mois. Cet incident marque un tournant dans la prise de conscience nationale.
Février 2021, CH de Villefranche-sur-Saône. Quelques jours seulement après Dax, le CH de Villefranche-sur-Saône subit une attaque par le rançongiciel Ryuk. Le standard téléphonique, la messagerie et les logiciels métiers sont hors service. L'établissement doit rediriger les urgences et reporter des interventions chirurgicales.
Septembre 2020, AP-HP (vol de données). L'Assistance Publique-Hôpitaux de Paris est victime d'un vol de données concernant environ 1,4 million de personnes testées pour le Covid-19. Il ne s'agit pas d'un rançongiciel mais d'une exfiltration de données, illustrant la diversité des menaces pesant sur les établissements de santé.
2021 : la multiplication des cibles
Avril 2021, CH de Saint-Gaudens. Le centre hospitalier de Saint-Gaudens (Haute-Garonne) est touché par un rançongiciel. Le système d'information est rendu indisponible pendant plusieurs semaines. L'établissement, de taille modeste, illustre le fait que les attaquants ne visent pas uniquement les grands CHU.
Automne 2021, GHT Coeur Grand-Est. Le Groupement Hospitalier de Territoire Coeur Grand-Est, qui regroupe neuf établissements dans la Haute-Marne et les Vosges, subit une attaque qui affecte l'ensemble du groupement. L'incident démontre que la mutualisation informatique, si elle présente des avantages, peut aussi propager une compromission à travers plusieurs sites.
2022 : les attaques les plus spectaculaires
Août 2022, CHSF de Corbeil-Essonnes. Le 21 août 2022, le Centre Hospitalier Sud Francilien est frappé par le groupe LockBit 3.0. C'est l'attaque la plus médiatisée de la période. La rançon demandée s'élève à 10 millions de dollars. L'hôpital refuse de payer. Le SI est totalement paralysé : les équipes soignantes travaillent avec des dossiers papier, des fax et des téléphones personnels pendant des semaines. En septembre, les attaquants publient une partie des données volées sur le dark web (données administratives et, selon certaines sources, des données de santé). La reconstruction complète du SI prendra plus de six mois. Le coût total de l'incident est estimé à plus de 7 millions d'euros.
Décembre 2022, CH de Versailles. Moins de quatre mois après Corbeil-Essonnes, le Centre Hospitalier de Versailles (André-Mignot) est attaqué le 3 décembre 2022. Le système d'information est chiffré, forçant l'établissement à déprogrammer des interventions et à transférer des patients. Le fonctionnement en mode dégradé durera plusieurs semaines.
2023 : des cibles toujours plus diverses
Juin 2023, CHU de Rennes. Le 21 juin 2023, le CHU de Rennes subit une attaque revendiquée par le groupe BianLian. L'accès à Internet est coupé, les échanges avec les partenaires extérieurs sont suspendus. Les soins sont maintenus grâce au basculement en mode dégradé, mais une exfiltration de données patients et administratives est confirmée dans les semaines suivantes. La remise en service complète nécessitera plusieurs semaines d'efforts.
Avril 2024, CH de Cannes (Simone Veil). Le centre hospitalier Simone Veil de Cannes est victime d'une cyberattaque en avril 2024 qui entraîne une perturbation significative de son système d'information. L'établissement doit reporter des consultations et fonctionner en mode dégradé.
Note : la date initialement indiquée (avril 2023) a été corrigée. L'attaque du CH de Cannes a eu lieu en avril 2024, confirmée par les communiqués officiels de l'établissement.
2024-2025 : un plateau de menace élevé
L'année 2024 confirme que la menace ne faiblit pas. Avec plus de 580 incidents déclarés au CERT Santé, le volume reste comparable à 2023. Les attaques par rançongiciel continuent de frapper des établissements de toutes tailles sur l'ensemble du territoire. Les groupes cybercriminels diversifient leurs techniques et exploitent de nouvelles vulnérabilités.
Les trois vecteurs d'attaque les plus fréquents
L'analyse des incidents montre que trois vecteurs d'intrusion concentrent la grande majorité des compromissions initiales.
Le phishing et l'ingénierie sociale
Le phishing reste le premier mode d'entrée dans les systèmes d'information hospitaliers. Un email contenant une pièce jointe malveillante ou un lien vers un site de collecte d'identifiants suffit à compromettre un compte. Dans un environnement hospitalier où le personnel soignant reçoit des dizaines de mails par jour et travaille sous pression, le taux de clic sur les messages frauduleux reste élevé. La sensibilisation du personnel est un levier essentiel, mais insuffisant à lui seul.
La compromission des accès distants (VPN)
Les accès VPN mal sécurisés constituent le deuxième vecteur majeur. Identifiants volés, absence d'authentification multifacteur, appliances VPN non mises à jour : autant de failles que les attaquants exploitent pour pénétrer le réseau. Plusieurs incidents majeurs documentés par le CERT Santé ont pour origine une compromission VPN, parfois facilitée par des identifiants déjà en circulation sur des forums cybercriminels.
Les attaques par la chaîne d'approvisionnement (supply chain)
La troisième voie d'entrée passe par les prestataires et les éditeurs de logiciels. Un fournisseur compromis peut servir de passerelle vers des dizaines d'établissements clients. Ce vecteur, plus difficile à détecter, est en progression. Il impose aux DSI une vigilance accrue dans la gestion des accès tiers et la sélection de prestataires respectant des standards de sécurité élevés, notamment en matière d'hébergement certifié HDS.
Evaluer votre posture de cybersécurité
Nous auditons votre infrastructure et vous aidons à préparer un plan de reprise conforme aux exigences ANSSI.
Demander un diagnostic →Ce que ces incidents ont changé dans la réglementation
La multiplication des attaques a accéléré la structuration de la réponse réglementaire et institutionnelle.
La directive NIS 2 et son application au secteur de la santé
La directive européenne NIS 2, transposée en droit français, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Tous les établissements de santé sont désormais concernés, et non plus seulement ceux désignés comme Opérateurs de Services Essentiels. Les obligations portent sur la gestion des risques, la notification des incidents, la sécurité de la chaîne d'approvisionnement et la gouvernance de la cybersécurité au niveau de la direction.
Le programme CaRE : 750 millions d'euros pour la résilience
Le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), lancé fin 2023 par le ministère de la Santé, représente l'investissement public le plus important jamais consacré à la cybersécurité des établissements de santé. Doté de 750 millions d'euros sur cinq ans, il finance quatre axes prioritaires : la gouvernance et la résilience, les ressources humaines, la sensibilisation et la sécurité opérationnelle.
Les premiers appels à projets ont ciblé deux domaines identifiés comme critiques : la maîtrise de l'exposition sur Internet et la sécurisation des annuaires techniques (Active Directory). Des centaines d'établissements ont bénéficié de financements pour conduire des audits et mettre en place des mesures correctives.
Le CERT Santé et les obligations de signalement
Le CERT Santé, opéré par l'Agence du Numérique en Santé, est devenu un acteur central de l'écosystème. Tout établissement de santé a l'obligation de déclarer ses incidents de sécurité significatifs. Le CERT Santé assure une veille continue, publie des alertes et accompagne les établissements en cas d'attaque. Cette obligation de signalement, parfois perçue comme contraignante, contribue à une meilleure connaissance de la menace et à une réponse coordonnée.
L'intégration dans la doctrine cloud souverain
La question de l'hébergement des données de santé a également évolué. L'exigence de certification HDS reste le socle, mais la qualification SecNumCloud de l'ANSSI ajoute une couche de souveraineté juridique. La doctrine est claire : les données de santé doivent être hébergées par des acteurs européens, immunisés contre les lois extraterritoriales. C'est un facteur de résilience supplémentaire face aux menaces.
Comment les établissements résilients se distinguent
Face à une menace identique, certains établissements se relèvent en quelques jours quand d'autres mettent des mois à reconstruire leur SI. Qu'est-ce qui fait la différence ?
La segmentation réseau comme premier rempart
Les établissements qui résistent le mieux aux attaques sont ceux qui ont investi dans la segmentation de leur réseau. Isoler les équipements biomédicaux, séparer le réseau administratif du réseau médical, cloisonner les accès par métier : ces mesures limitent la propagation latérale d'un rançongiciel. Quand l'attaquant compromet un poste, il ne peut pas atteindre le dossier patient informatisé ni les systèmes de soins critiques.
L'authentification multifacteur systématique
Le déploiement du MFA sur tous les accès critiques (VPN, messagerie, consoles d'administration, applications métiers) neutralise la majorité des attaques par identifiants volés. C'est l'une des mesures au meilleur ratio coût-efficacité. Les établissements qui l'ont généralisé avant une attaque constatent une réduction significative du risque d'intrusion initiale.
Des sauvegardes déconnectées et testées
La différence entre un rétablissement rapide et une reconstruction de plusieurs mois tient souvent à la qualité des sauvegardes. La règle 3-2-1 (trois copies, deux supports, une copie hors ligne) est connue. Ce qui distingue les établissements résilients, c'est qu'ils la mettent réellement en pratique et testent régulièrement la restauration. Pour approfondir les stratégies de reprise, consultez notre article sur le plan de reprise d'activité face aux cyberattaques.
Un plan de crise cyber préparé et exercé
Les établissements qui s'en sortent le mieux disposent d'un plan de continuité et de reprise d'activité (PCA/PRA) qui inclut un scénario "SI totalement indisponible". Ce plan a été testé lors d'exercices de crise impliquant la direction générale, les équipes soignantes, l'informatique et la communication. Les contacts du CERT Santé, de l'ANSSI et des prestataires de réponse à incident sont identifiés et accessibles.
L'assurance cyber comme filet de sécurité
De plus en plus d'établissements souscrivent une assurance cyber. Elle ne remplace ni la prévention ni la préparation, mais elle contribue à absorber le choc financier d'une attaque. Les assureurs exigent désormais un niveau de maturité minimal (MFA, sauvegardes, segmentation), ce qui crée un effet vertueux. Un accompagnement spécialisé aide à structurer cette démarche.
Ce qu'il faut retenir
Cinq années de cyberattaques contre les hôpitaux français ont produit des enseignements clairs. La menace est durable : aucun signal ne laisse présager un recul des attaques contre le secteur de la santé. Les groupes cybercriminels continueront de cibler les établissements tant que ceux-ci présenteront des vulnérabilités exploitables et des données monnayables.
La réponse réglementaire s'est structurée avec NIS 2, le programme CaRE et le renforcement du CERT Santé. Les financements existent. Les bonnes pratiques sont documentées. L'enjeu, pour les directeurs généraux et les DSI, est désormais de passer de la connaissance à l'action.
Les mesures fondamentales sont connues : segmentation réseau, authentification multifacteur, sauvegardes hors ligne, sensibilisation continue, préparation de crise. Chacune d'entre elles réduit significativement le risque ou limite l'impact d'une attaque. Combinées, elles transforment un établissement vulnérable en cible difficile.
Le coût de la prévention reste très inférieur au coût d'une attaque. Les estimations convergent : une attaque majeure coûte entre 5 et 10 millions d'euros à un hôpital. Un programme de sécurisation complet représente une fraction de cette somme. L'investissement dans la cybersécurité n'est pas un poste de dépense : c'est une condition de la continuité des soins, de la protection des données patients et de la confiance des usagers.
Pour les établissements qui souhaitent structurer leur démarche, un audit de maturité cyber constitue le premier pas. Il permet d'objectiver les risques, de prioriser les investissements et de construire une feuille de route réaliste vers un SI hospitalier résilient.
