La cybersécurité dans le milieu de la santé

La cybersécurité dans le secteur de la santé vise à protéger les soins, les patients et la confiance.

Pour faire face à ces nouvelles menaces, l'Université de Limoges via CINERG E Santé propose un diplôme universitaire en santé numérique pour les professionnels de santé et les cadres de santé. Cliquez ici pour en savoir plus sur ce module, si vous êtes un professionnel de santé.

Introduction à la cybersécurité dans le secteur de la santé

Définition de la cybersécurité en milieu médical

La cybersécurité en santé regroupe l'ensemble des pratiques, politiques et technologies destinées à protéger les systèmes d'information de santé, les dispositifs médicaux connectés et les données des patients contre toute atteinte à leur confidentialité, leur intégrité et leur disponibilité. Elle vise autant la protection des Dossiers Patients Informatisés (DPI) que la continuité des opérations cliniques et médico techniques.

Contexte historique de la cybersécurité

Longtemps perçue comme un sujet technique, la cybersécurité s'est imposée au rythme de la numérisation des soins :

• généralisation du DPI,
• interopérabilité entre biologie,
• imagerie et pharmacie,
• télémédecine,
• hébergement cloud.

Les cyberattaques par rançongiciel contre des hôpitaux européens au cours de la dernière décennie ont marqué un tournant. Elles ont montré que le risque cyber n'est pas seulement une menace financière. Ce risque englobe de nouvelles menaces liées à la continuité des soins et à la protection des patients. En effet, face à une cyber attaque, un établissement de soin se voit contraint d'interrompre les examens médicaux des patients, les interventions ou les traitements médicaux protocolisés.

En 2025, La Cour des comptes a estimé que le cout d'une cyberattaque pour un hôpital pour s'élever à 10 millions d'euros pour faire face à gestion de crise et la mise en place d'un plan remédiation. Le montant des pertes de recettes d'exploitation pouvait s'élever jusqu'à 20 millions d'euros suite à cette cyberattaque.

Objectifs de la cybersécurité dans les établissements de santé

Les objectifs sont triples. D'abord, protéger les patients en empêchant toute fuite ou altération de leurs informations sensibles. Ensuite, préserver la sécurité des soins en maintenant les applications et équipements critiques disponibles, même en situation dégradée. Enfin, garantir la conformité réglementaire et la confiance des tutelles, entreprises partenaires et assureurs, condition de la pérennité de l'établissement.

Importance des systèmes d'information sécurisés

Un système d'information sécurisé est un levier de qualité et de sécurité des soins. Il permet d'accéder aux antécédents, d'assurer la traçabilité du circuit du médicament et d'anticiper les indisponibilités grâce à la supervision. À l'inverse, un système d'information vulnérable multiplie les interruptions de service, les erreurs de prescription liées à l'indisponibilité documentaire et les retards de prise en charge.

Rôle des professionnels de santé dans la cybersécurité ou comment les hôpitaux peuvent‑ils se préparer à une attaque cybernétique

La sécurité face aux cybercriminels n'est pas l'apanage de la Direction des Systèmes d'Information ou du Responsable des Systèmes d'Information. Chaque professionnel joue un rôle face aux menaces cyber : verrouiller sa session en quittant un poste, signaler un courriel suspect, utiliser les canaux sécurisés pour partager des données, respecter les habilitations et s'approprier les procédures “mode dégradé”. La culture de sécurité s'acquiert au quotidien, au plus près des pratiques cliniques.

Enjeux de la sécurité des données patients

Sensibilité des données médicales

Les données de santé révèlent l'intime : diagnostics, traitements médicaux, vulnérabilités sociales. Leur exposition peut provoquer stigmatisation, discriminations et chantages. Elles attirent donc des cybercriminels pour leur valeur financière et leur potentiel d'extorsion.

Confidentialité et réglementations en vigueur

Le cadre européen impose des principes clairs : minimisation, finalité, sécurité adaptée au risque, traçabilité des accès, notification des violations. L'établissement demeure responsable, y compris lorsqu'il externalise l'hébergement ou des services applicatifs auprès d'entreprises partenaires. Les contrats et la gouvernance doivent refléter cette responsabilité.

Impact des violations de données sur les patients

Au‑delà de l'atteinte à la vie privée, une violation peut conduire à des erreurs de prise en charge si l'intégrité des données est compromise, ou à des retards de soins si les systèmes sont indisponibles. L'impact psychologique pour les patients, confrontés à la divulgation d'informations sensibles, est réel et durable.

Confiance des patients et réputation des établissements

La confiance est un capital clinique. Un établissement transparent, qui protège et informe, renforce l'adhésion des patients et la collaboration des partenaires. À l'inverse, la répétition d'incidents fragilise l'image, complique les recrutements et pèse sur les relations de l'établissement de santé avec les tutelles, les assureurs et les entreprises partenaires.

Menaces et risques en cybersécurité

Types d'attaques courantes

Les rançongiciels chiffrent serveurs et postes, paralysant DPI et le système d'archivage et de communication d'images dit PACS. Le hameçonnage capte identifiants et tokens pour rebondir sur les VPN (Virtual Private Network). Les intrusions exploitent des vulnérabilités non corrigées. Les erreurs de configuration exposent des partages ou des buckets cloud. Les équipements biomédicaux connectés, parfois obsolètes, offrent des points d'entrée supplémentaires.

 En 2024, l'Agence Nationale de Sécurité et des Systèmes d'Information (ANSSI) a recensé 30 rançongiciels signalés par établissements de santé au titre de l'exercice 2022–2023 

Motivations des cybercriminels

Les cybercriminels combinent motivations financières (extorsion, revente de données), opportunisme technique (exploitation de failles connues) et ciblages par chaîne d'approvisionnement. Certains groupes de cybercriminels cherchent l'effet de choc médiatique, considérant les hôpitaux comme des cibles à forte contrainte temporelle, donc plus susceptibles de payer.

Études de cas sur des attaques dans le secteur de la santé

Plusieurs hôpitaux européens ont connu des paralysies prolongées : dossiers inaccessibles, report d'interventions, redémarrages laborieux. Les retours d'expérience convergent : l'absence de segmentation, des sauvegardes non testées et des comptes à privilèges mal gérés aggravent l'impact. À l'inverse, une gouvernance claire, des plans de continuité éprouvés et une communication interne structurée limitent la gravité de la cyberattaque.

Évaluation des vulnérabilités des systèmes informatiques

L'évaluation repose sur l'inventaire des actifs, le score de criticité clinique, la gestion des correctifs et des vulnérabilités, les tests d'intrusion et l'analyse des journaux. Elle doit intégrer le biomédical et la chaîne d'interopérabilité, trop souvent sous‑cartographiés.

Défis spécifiques en matière de cybersécurité pour les établissements de santé

Adoption des technologies numériques

La transformation numérique accélère les usages : DPI, télésuivi, téléradiologie, objets connectés. Chaque nouveauté élargit la surface d'une attaque cyber. L'enjeu est d'introduire l'innovation avec des garde‑fous proportionnés, sans entraver le flux clinique.

Intégration du cloud et des réseaux sécurisés

Le cloud apporte résilience et scalabilité. Mais, il impose une gouvernance contractuelle et technique stricte : gestion des identités, chiffrement, supervision, réversibilité. Côté réseau, la séparation des environnements bureautique, clinique et biomédical, et la maîtrise des flux d'interopérabilité, sont essentielle

Formation du personnel et sensibilisation du personnel à la cybersécurité

La formation initiale et continue doit être brève, régulière et contextualisée. Dix minutes en briefing d'équipe auront plus d'impact qu'un long cours annuel. Les simulations de phishing, les fiches réflexes et les référents cyber de service créent des relais efficaces.

Mise en place d'un plan de sécurité stratégique

Un plan crédible aligne gouvernance, budgets et priorités cliniques. Il définit des jalons :

• généralisation des authentifications multifacteurs (MFA)
• sauvegardes hors ligne testées,
• segmentation,
• EDR ou Endpoint Detection & Response (détection et réponse sur les postes/serveurs)

C'est un outil qui surveille en continu les ordinateurs et serveurs (et parfois certains équipements biomédicaux sous Windows), repère les comportements suspects (exécution anormale, chiffrement massif, mouvement latéral…) et permet de réagir vite (isoler la machine, tuer un processus, restaurer des fichiers). 

• supervision,
• procédures d'incident,
• audits récurrents.

Il prévoit aussi des exercices conjoints associant soignants, DSI/DSSI, biomédical et direction.

Bonnes pratiques pour assurer la cybersécurité dans le secteur de la santé

Mesures de protection des données

Cryptage des données sensibles

Le chiffrement au repos protège les serveurs, postes et mobiles perdus ou volés ; le chiffrement en transit sécurise les échanges entre applications et vers le cloud. Les clés doivent être gérées de façon centralisée, avec séparation des rôles et rotation planifiée.

Gestion des accès et des identités

Comme dans les entreprises privées, le principe du moindre privilège s'impose : des droits limités, révisés régulièrement, et des comptes à privilèges distincts des comptes nominaux. L'authentification multifacteur devient la norme pour la messagerie, le VPN, les portails et les consoles d'administration. Les départs et arrivées doivent déclencher immédiatement création ou révocation d'habilitations sur les réseaux de l'établissement.

Sauvegarde régulière des données

La règle “3‑2-1” fait ses preuves : trois copies, sur deux supports différents, dont une hors ligne ou immuable. Les tests de restauration sont aussi importants que la sauvegarde elle‑même ; ils doivent être planifiés et documentés.

Surveillance des systèmes en temps réel

La détection précoce réduit la gravité des incidents. Une supervision centralisée des journaux, appuyée d'un EDR sur les postes et serveurs, permet d'identifier comportements anormaux et compromissions. La mise en place de cas d'usage spécifiques santé (accès inhabituels au DPI, exfiltration vers l'extérieur, mouvements latéraux) améliore la pertinence.

Stratégies de préparation aux cyberattaques

Élaboration de politiques de sécurité claires

Des politiques lisibles, orientées soin, évitent les contournements : politique mots de passe, usage des messageries, accès distant, gestion des supports amovibles, recours au cloud. Chaque texte doit être accompagné d'un mode d'emploi opérationnel pour les services.

Simulations et réponses aux incidents

Les exercices “table‑top” rassemblent direction, soignants, DSI/DSSI, biomédical, pharmacie et communication. Ils révèlent les dépendances critiques et valident les procédures papier. En cas d'incident, la chaîne de décision, l'isolement des segments touchés, la conservation des preuves et la communication interne sont déterminants.

Collaboration avec des entreprises expertes en cybersécurité

Le recours à des partenaires qualifiés - SOC mutualisé, CERT/CSIRT sectoriel, auditeurs - accroît les capacités de détection et de réponse. Les contrats doivent prévoir des engagements de service, une assistance 24/7 et des obligations d'alerte et de transparence.

Mise en œuvre du modèle "zéro trust"

Le “zéro trust” considère chaque accès comme potentiellement hostile : authentification forte, autorisations dynamiques, segmentation fine, micro‑segmentation pour le biomédical, vérification continue de l'état des postes. Ce modèle s'adapte particulièrement aux environnements distribués et aux usages cloud.

Sensibilisation et formation continue

Programmes de formation pour le personnel

Des modules courts, intégrés au temps de service, abordent les réflexes essentiels : douter d'un courriel inattendu, verrouiller sa session, utiliser les canaux sécurisés, signaler un incident. Les nouveaux arrivants reçoivent un tronc commun dès leur prise de poste.

Création d'une culture de cybersécurité

La culture se construit par l'exemplarité managériale, la simplicité des consignes et la valorisation des signalements. Une erreur signalée précocement doit être saluée, non sanctionnée, pour encourager la transparence.

Évaluation des compétences en cybersécurité

Des indicateurs mesurables - taux de clic aux simulations, part des comptes protégés par MFA, délais de correction des vulnérabilités, taux de réussite des restaurations - permettent de piloter les progrès et d'ajuster les priorités.

Partenariats avec des organismes spécialisés

Les agences nationales, les sociétés savantes, les réseaux hospitaliers et les programmes européens offrent ressources, guides et financements. S'y connecter permet d'accéder à des alertes, à des formations et à des retours d'expérience.

Règlementations et initiatives de soutien

Cadre légal et réglementations en vigueur

Le cadre européen impose la protection des données personnelles de santé et la notification des violations, tandis que les directives relatives à la sécurité des réseaux et des systèmes d'information renforcent les obligations des entités essentielles. Les référentiels nationaux précisent les exigences sectorielles, notamment pour l'hébergement de données de santé et la traçabilité des accès.

Programmes européens de soutien à la cybersécurité

Des dispositifs de financement soutiennent la mise en place de capacités SOC, la mutualisation de compétences et les projets d'innovation en sécurité. Ils peuvent compléter les budgets internes pour accélérer la montée en maturité.

Normes de cybersécurité pour le secteur de la santé

L'adoption de normes reconnues (gestion des risques, sécurité de l'information, sécurité des dispositifs médicaux) structure les pratiques, facilite les audits et harmonise les exigences dans la chaîne d'approvisionnement.

Initiatives publiques et privées en matière de sécurité numérique

Les campagnes de sensibilisation, les plateformes d'alerte et les centres de partage d'informations renforcent la préparation. Les assureurs proposent parfois des services d'accompagnement, conditionnant leurs garanties à des mesures minimales de sécurité.

Conclusion et perspectives d'avenir pour la cybersécurité dans la santé

Importance de la cybersécurité pour les soins de santé

Protection des données des patients

Protéger les données, c'est protéger les personnes. La confidentialité nourrit la confiance, condition de la relation thérapeutique et de l'adhésion aux soins.

Implications financières pour les établissements

Un incident majeur coûte plus cher que la prévention : pertes d'activité, remédiation, accompagnement des patients, renforcement tardif des capacités. Investir en amont réduit la fréquence et la gravité des crises.

Avantages d'une stratégie de cybersécurité robuste

Une stratégie solide améliore la continuité des soins, rassure les partenaires, facilite les coopérations territoriales et attire les talents. Elle permet d'adopter des innovations numériques avec plus de sérénité.

Engagement des parties prenantes dans la protection numérique

La réussite repose sur l'alignement de la direction, des soignants, de la DSI/DSSI, du biomédical, des fournisseurs et des tutelles. Chacun possède une part de la solution ; ensemble, ils constituent la barrière défensive de l'établissement.

Innovations technologiques et cybersécurité

Nouveaux outils pour sécuriser les systèmes d'informations 

Les solutions de détection et réponse, la gestion centralisée des identités, la micro‑segmentation, le chiffrement matériel et la sauvegarde immuable renforcent le socle défensif sans alourdir les flux cliniques lorsqu'elles sont correctement intégrées.

Intelligence artificielle et cybersécurité

L'IA accélère la détection d'anomalies et la priorisation des alertes, mais exige des garde‑fous : qualité des données, explicabilité, gouvernance des modèles et protection contre les attaques cyber. Elle doit servir le soin, pas le contraindre.

Tendances futures en matière de sécurité numérique

La consolidation des SOC mutualisés, l'authentification sans mot de passe, la sécurité “by design” des dispositifs médicaux et l'automatisation des réponses aux incidents deviendront la norme. La conformité restera un plancher ; la résilience opérationnelle, l'objectif.

Évolution des cybermenaces et préparation

Les menaces gagneront en sophistication et en vitesse. La préparation passera par des exercices plus fréquents, des chaînes d'approvisionnement mieux contrôlées et une veille active sur les vulnérabilités exploitables.

Appel à l'action pour les établissements de santé

Mise en place de bonnes pratiques immédiates

Généraliser la MFA, tester une restauration complète, révoquer les comptes inactifs, segmenter les réseaux critiques et publier une fiche “mode dégradé” par service. Ces actions pragmatiques réduisent le risque sans immobiliser le soin.

Partenariat avec des entreprises expertes en cybersécurité

S'appuyer sur des centres d'expertise, contractualiser des engagements de service et planifier des audits réguliers. La mutualisation des compétences est un accélérateur puissant.

Éducation des patients sur la cybersécurité

Informer les patients des canaux sécurisés, des pratiques d'échange de documents et des risques d'usurpation. Une communication claire améliore la sécurité globale de l'écosystème de soins.

Création d'une feuille de route pour la sécurité numérique

Établir un plan sur douze à vingt‑quatre mois, priorisé par impact clinique et faisabilité : gouvernance, sauvegardes, MFA, segmentation, EDR, supervision, formation, audits. Mesurer, ajuster, communiquer.

Réflexion sur l'avenir de la cybersécurité dans la santé

La cybersécurité comme priorité stratégique

Elle n'est plus un centre de coût technique, mais un pilier de la qualité et de la sécurité des soins. À ce titre, elle mérite un pilotage au niveau de la direction.

Intégration des enjeux éthiques et de conformité

La protection des données n'est pas qu'une obligation légale : c'est un impératif éthique. Les choix technologiques doivent respecter la dignité et l'autonomie des patients.

Vision conjointe des acteurs de la santé et de la cybersécurité

La sécurité est une œuvre collective. En articulant expertise clinique, compétences techniques et exigence de service public, les établissements peuvent bâtir des systèmes d'information à la fois performants et résilients, au service du patient.

Sources

• ENISA – Health Threat Landscape (juil. 2023) : analyse des incidents santé dans l'UE (2021–03/2023), poids du ransomware, impact hôpitaux. Ressource de référence pour chiffres et priorités. (1)
• ENISA – Threat Landscape (2023/2024) : tendances transverses, utile pour cas d'usage de détection et priorisation des contrôles. (2)
• EUR‑Lex – Directive (UE) 2022/2555 (NIS2) : obligations de gestion des risques, notification d'incidents, gouvernance pour entités essentielles/importantes (dont établissements de santé). (3)
• Commission européenne – Que faire en cas de violation de données ? : rappels RGPD, y compris pour données de santé (catégorie sensible) et notifications aux autorités/personnes. (4)
• EDPB – Lignes directrices 9/2022 sur la notification des violations : précisions pratiques sur l'application RGPD (notification 72 h, évaluation du risque). (5)
• ENISA – page secteur santé + campagnes ECSM : guides, outils, supports de sensibilisation et initiatives annuelles. (6)
• AP‑HP – communications officielles sur vols de données : exemples concrets de gestion et d'information en France. (7)
• Z‑CERT (NL) – Threat Landscape Healthcare 2023 : angle complémentaire sur menaces et vulnérabilités observées dans les hôpitaux, utile pour benchmark européen. (8)