Cybersécurité en établissement de santé : guide 2026

La cybersécurité santé face à une menace croissante

La cybersécurité en santé est devenue un enjeu de premier plan pour les établissements hospitaliers français. En trois ans, le nombre de cyberattaques ciblant le secteur de la santé a triplé. Les conséquences ne sont plus seulement techniques ou financières : elles mettent directement en danger la continuité des soins et la sécurité des patients.

Les chiffres du CERT Santé sont sans appel. En 2024, plus de 580 incidents de cybersécurité ont été déclarés par les établissements de santé français, contre 349 en 2022 et 730 en 2023. La tendance est structurelle, pas conjoncturelle. Le secteur de la santé est devenu la cible prioritaire des groupes de rançongiciels.

Cet article fait le point sur les menaces, les attaques récentes, le cadre réglementaire et les mesures concrètes que chaque établissement peut mettre en place pour renforcer sa posture de sécurité.

Les cyberattaques contre les hôpitaux français : des exemples concrets

Le CHU de Rennes (juin 2023)

Le 21 juin 2023, le CHU de Rennes a été victime d'une cyberattaque majeure. L'accès à Internet a été coupé, les échanges avec les partenaires extérieurs suspendus. Si les soins ont pu être maintenus grâce au basculement en mode dégradé, l'attaque a entraîné une exfiltration de données patients et administratives. Le retour à la normale a pris plusieurs semaines. L'attaque a été revendiquée par le groupe BianLian.

Le Centre Hospitalier Sud Francilien de Corbeil-Essonnes (août 2022)

L'attaque du CHSF le 21 août 2022 reste l'une des plus marquantes. Un rançongiciel du groupe LockBit 3.0 a paralysé l'ensemble du système d'information. Rançon demandée : 10 millions de dollars. L'hôpital a refusé de payer. Pendant des mois, les équipes ont travaillé avec des dossiers papier, des fax et des téléphones portables personnels. Des données patients ont été publiées sur le dark web.

Le CH de Versailles (décembre 2022)

Moins de quatre mois après Corbeil-Essonnes, le Centre Hospitalier de Versailles a subi une attaque similaire. Le système d'information a été chiffré, forçant l'établissement à déprogrammer des interventions et à transférer des patients vers d'autres structures. La reconstruction complète du SI a mobilisé des moyens considérables pendant plusieurs mois.

Les enseignements de ces attaques

Plusieurs points communs émergent de ces incidents :

• L'accès initial passe souvent par du phishing ou des accès VPN compromis
• Les systèmes d'information des hôpitaux sont insuffisamment segmentés, permettant une propagation latérale rapide
• Les sauvegardes ne sont pas toujours déconnectées du réseau et sont chiffrées en même temps que les systèmes de production
• Le temps de détection est trop long : les attaquants sont souvent présents dans le réseau depuis des semaines avant le déclenchement du rançongiciel

Pourquoi les établissements de santé sont des cibles privilégiées

Des données d'une valeur exceptionnelle

Un dossier médical se vend entre 250 et 1 000 dollars sur le dark web, contre 5 à 50 dollars pour un numéro de carte bancaire. Ce n'est pas un hasard. Un dossier médical contient tout ce dont un cybercriminel a besoin : identité complète, numéro de sécurité sociale, historique médical, données bancaires parfois. Contrairement à une carte bancaire, ces données ne peuvent pas être "annulées". Le patient reste exposé à l'usurpation d'identité pendant des années.

Des systèmes d'information vieillissants

Les hôpitaux français fonctionnent souvent avec des systèmes hérités, parfois vieux de 15 ou 20 ans. Des logiciels qui ne reçoivent plus de mises à jour de sécurité, des systèmes d'exploitation obsolètes (Windows 7, voire Windows XP sur certains équipements biomédicaux), des architectures réseau plates sans segmentation. Ce retard technique crée des vulnérabilités structurelles.

La pression de la disponibilité

Un hôpital ne peut pas fermer. Cette contrainte de disponibilité permanente pousse certains établissements à reporter les mises à jour, à maintenir des systèmes obsolètes "parce qu'ils fonctionnent", ou à payer des rançons pour rétablir les soins au plus vite. Les cybercriminels le savent et exploitent cette pression.

Un budget IT historiquement sous-dimensionné

Le budget IT des hôpitaux français représente en moyenne 1,7 % du budget total, contre 4 à 8 % dans d'autres secteurs critiques. Cette sous-dotation chronique se traduit par des équipes IT réduites, un manque de compétences en cybersécurité, et des investissements insuffisants en outils de protection.

Le cadre réglementaire et les recommandations

L'ANSSI et le CERT Santé

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) publie régulièrement des recommandations spécifiques au secteur de la santé. Le CERT Santé, opéré par l'ANS (Agence du Numérique en Santé), est le centre de réponse aux incidents de cybersécurité dédié au secteur. Il accompagne les établissements en cas d'attaque et publie des alertes et des guides de bonnes pratiques.

Les établissements de santé désignés OSE (Opérateurs de Services Essentiels) au titre de la directive NIS sont soumis à des obligations renforcées : notification des incidents, audit de sécurité, mise en conformité avec les règles de l'ANSSI. Depuis l'adoption de la directive NIS 2, transposée en droit français, le périmètre des entités concernées s'est élargi à l'ensemble du secteur de la santé.

Le programme CaRE

Le programme CaRE (Cybersécurité accélération et Résilience des Établissements) est le plan national lancé fin 2023 avec une enveloppe de 750 millions d'euros sur cinq ans. Il structure la réponse de l'État autour de quatre axes :

• Gouvernance et résilience : exercices de crise, plans de continuité et de reprise d'activité
• Ressources et mutualisation : recrutement de compétences cyber, groupements d'achat
• Sensibilisation : formation du personnel soignant et administratif
• Sécurité opérationnelle : déploiement d'outils de détection, segmentation réseau, sauvegardes

Les premiers appels à projets ont permis de financer des audits de sécurité et des exercices de crise dans des centaines d'établissements. Les domaines prioritaires identifiés sont l'exposition sur Internet, les annuaires techniques (Active Directory) et les sauvegardes.

Les bonnes pratiques : plan d'action pour les DSI

1. Segmenter le réseau

La segmentation réseau est la mesure la plus impactante. L'objectif est de cloisonner les environnements pour empêcher la propagation latérale d'une attaque. Concrètement :

• Séparer le réseau administratif du réseau médical
• Isoler les équipements biomédicaux (scanners, IRM, automates de laboratoire) dans un VLAN dédié
• Restreindre les flux entre segments au strict nécessaire
• Déployer des pare-feux internes entre les segments

Un attaquant qui compromet un poste administratif ne doit pas pouvoir atteindre le DPI ou les équipements biomédicaux.

2. Déployer l'authentification multifacteur (MFA)

L'authentification par mot de passe seul est insuffisante. Le MFA doit être activé sur tous les accès critiques :

• VPN et accès distants
• Messagerie professionnelle
• Consoles d'administration
• Applications contenant des données de santé

Les solutions de MFA compatibles Pro Santé Connect facilitent le déploiement pour les professionnels de santé tout en garantissant un niveau d'authentification élevé.

3. Sauvegarder hors ligne

Les sauvegardes sont le dernier rempart contre les rançongiciels. Mais elles ne servent à rien si elles sont accessibles depuis le réseau compromis. La règle 3-2-1 doit être appliquée rigoureusement :

• 3 copies des données
• Sur 2 types de supports différents
• Dont 1 copie déconnectée (hors ligne ou immuable)

Les sauvegardes doivent être testées régulièrement. Un test de restauration trimestriel est un minimum. L'hébergement sur un cloud souverain certifié HDS garantit que les sauvegardes externalisées respectent les exigences réglementaires.

4. Former et sensibiliser le personnel

Le facteur humain reste le premier vecteur d'attaque. Le phishing représente plus de 60 % des compromissions initiales dans le secteur de la santé, comme le documente la CNIL dans ses rapports annuels. La sensibilisation ne doit pas se limiter à une formation annuelle PowerPoint :

• Campagnes de phishing simulé régulières (trimestrielles)
• Micro-formations intégrées au quotidien (5 minutes, ciblées)
• Procédure claire de signalement d'un email suspect
• Exercices de crise impliquant les équipes soignantes

5. Durcir les systèmes et surveiller en continu

Le durcissement (hardening) des systèmes est un prérequis souvent négligé :

• Appliquer les correctifs de sécurité dans les 72 heures suivant leur publication
• Désactiver les services et ports inutiles
• Configurer les systèmes selon les guides CIS (Center for Internet Security) et les recommandations de l'ANSSI
• Déployer un EDR (Endpoint Detection and Response) sur tous les postes et serveurs
• Centraliser les journaux d'événements dans un SIEM

La surveillance continue permet de détecter les comportements anormaux avant le déclenchement de l'attaque. Les solutions de type SOC (Security Operations Center) mutualisé sont une option pour les établissements qui ne disposent pas des ressources pour un SOC interne.

6. Préparer la gestion de crise

L'attaque n'est pas une question de "si" mais de "quand". Se préparer signifie :

• Rédiger un plan de continuité d'activité (PCA) incluant un scénario "SI indisponible"
• Rédiger un plan de reprise d'activité (PRA) avec des objectifs de RPO et RTO définis
• Réaliser un exercice de crise cyber au moins une fois par an
• Identifier les contacts clés : CERT Santé, ANSSI, ARS, prestataires de réponse à incident
• Préparer une communication de crise (interne et externe)

Le rôle du cloud souverain dans la stratégie de cybersécurité

La migration vers le cloud est souvent perçue comme un risque supplémentaire. En réalité, un cloud souverain qualifié SecNumCloud offre un niveau de sécurité que la plupart des établissements ne peuvent pas atteindre en interne :

• Datacenters certifiés avec sécurité physique 24/7
• Équipes dédiées à la sécurité et à la surveillance
• Mises à jour automatiques de l'infrastructure
• Sauvegardes géographiquement distribuées
• Conformité réglementaire intégrée (HDS, SecNumCloud, RGPD)

Chez Ducal, toutes les applications que nous déployons pour le secteur de la santé sont hébergées chez Outscale (Dassault Systèmes), doublement certifié HDS et qualifié SecNumCloud. C'est un choix de sécurité autant que de souveraineté, dans le cadre d'un hébergement cloud souverain.

Ce qu'il faut retenir

La cybersécurité en établissement de santé n'est plus un sujet technique réservé aux DSI. C'est un enjeu de gouvernance qui engage la direction générale, les équipes soignantes et l'ensemble des acteurs du système d'information.

Les mesures prioritaires sont connues : segmentation réseau, MFA, sauvegardes déconnectées, sensibilisation, durcissement des systèmes, préparation de crise. Le programme CaRE fournit les financements. Les recommandations de l'ANSSI et du CERT Santé sont disponibles. Il reste à passer à l'action.

Le coût de l'inaction est sans commune mesure avec le coût de la prévention. Une attaque par rançongiciel coûte en moyenne plusieurs millions d'euros à un établissement de santé (coûts directs de reconstruction, coûts indirects de désorganisation, atteinte à la réputation, risque juridique). Investir dans la cybersécurité, c'est investir dans la continuité des soins.