En France, 15 % des établissements de santé ont été confrontés à un incident cyber perturbateur au cours des trois dernières années, selon une enquête Occurrence (Ifop) auprès de 719 directeurs publiée début 2026. Les hôpitaux se situent au troisième rang des secteurs les plus touchés, après les collectivités territoriales et les entreprises.
La numérisation des parcours de soins multiplie les points d’entrée : dossiers patients informatisés, dispositifs médicaux connectés, télémédecine. Les données de santé présentent une valeur marchande élevée sur les marchés illicites. Fin 2025, le piratage d’un logiciel de gestion médicale a exposé les données administratives de près de 15 millions de patients.
Les conséquences dépassent la sphère informatique. Un rançongiciel peut paralyser un bloc opératoire ou imposer un retour au dossier papier durant des semaines. En 2025, ces attaques ont touché 8 % des établissements, contre 4 % l’année précédente.
Les fondamentaux d’un plan de réponse aux incidents cyber en milieu hospitalier
Un plan de réponse aux incidents constitue le socle de la cybersécurité hospitalière. Il couvre quatre phases : détection et qualification de l’incident, confinement, éradication et restauration des systèmes, puis retour d’expérience. Il implique la constitution d’une cellule de crise associant direction, équipe informatique et responsables métiers.
Identification et classification des incidents
Tous les incidents ne se valent pas. La classification s’appuie sur trois critères : le périmètre touché, l’impact sur la continuité des soins et la compromission éventuelle de données personnelles. Les principales menaces dans le secteur hospitalier sont les rançongiciels, le hameçonnage, la compromission de comptes à privilèges via l’Active Directory et l’exploitation de vulnérabilités sur les équipements exposés à Internet.
Check-list opérationnelle pour une réponse rapide et efficace aux cyberincidents
Étapes immédiates en cas d’attaque
La fiche réflexe publiée par l’ARS PACA (téléchargeable ici) détaille les premières mesures à appliquer. La logique est claire : confiner d’abord, alerter ensuite.
Confiner et endiguer : réunir immédiatement une cellule de crise incluant les composantes informatique et métier. Déconnecter le système d’information d’Internet. Couper les liens intersites pour éviter la propagation aux établissements partenaires. Isoler les segments réseau compromis. Proscrire toute utilisation du matériel informatique avant nettoyage ou réinstallation.
Alerter la chaîne institutionnelle : prévenir la DSI, les prestataires de réponse à incident et le SOC. Signaler l’incident sur le portail national des événements sanitaires indésirables. Contacter le CERT Santé (disponible 24 h/24, 7 j/7). Pour les opérateurs de services essentiels, saisir le CERT-FR de l’ANSSI. Déclarer toute violation de données personnelles à la CNIL dans un délai de 72 heures.
Passer en mode dégradé : déployer des moyens de communication alternatifs (téléphones portables, messagerie sécurisée de type Tchap). Utiliser les sauvegardes hors ligne du dossier patient. Prévoir des PC tampons non connectés au réseau compromis. Ce mode dégradé peut durer plusieurs semaines, voire plusieurs mois.
Outils et procédures à formaliser en amont
La préparation conditionne l’efficacité de la réponse. Plusieurs éléments doivent être documentés avant toute crise :
- Une cartographie à jour du système d’information, incluant la criticité de chaque composant.
- Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) testés régulièrement.
- Une stratégie de sauvegarde positionnant les copies en dehors du système d’information principal.
- Une liste de contacts d’urgence (ARS, CERT Santé, ANSSI, prestataires PRIS) accessible hors réseau.
Le programme CaRE impose d’ailleurs aux établissements candidats de réaliser un exercice de crise annuel et de formaliser des bilans d’impact sur l’activité pour tous les services critiques d’ici juin 2026.
Les obligations réglementaires en matière de cybersécurité pour les établissements de santé
Le cadre juridique s’est considérablement durci. L’instruction DNS/2025/12 de janvier 2025 définit sept actions prioritaires obligatoires : exercice de crise annuel, auto-évaluation de la maturité SSI, audit des infrastructures critiques, mise en place d’un PCA/PRA, intégration de la cybersécurité dans la gestion des risques, application des référentiels d’authentification et suivi du budget numérique consacré à la sécurité.
Le programme CaRE, doté de 750 millions d’euros jusqu’en 2027, structure ces obligations en quatre domaines : gouvernance, résilience et protection des données, sécurisation des accès, détection et réponse aux incidents. Le deuxième appel à financement, consacré à la continuité d’activité, a mobilisé 1 167 établissements candidats — soit 80 % des structures éligibles.
À cela s’ajoute la directive européenne NIS 2, en cours de transposition, qui élargit le périmètre des entités concernées et renforce les exigences de notification. Le RGPD impose quant à lui la déclaration de toute violation de données dans les 72 heures. La certification HAS intègre désormais des critères de cybersécurité dans son référentiel.
Pour aller plus loin
Ces exigences posent la question de l’infrastructure sous-jacente. Les limites des systèmes hébergés en local face aux cybermenaces poussent de nombreux établissements à repenser leur architecture.
Téléchargez notre livre blanc « Le cloud souverain, un pilier de transformation numérique dans la santé » : souveraineté des données, conformité HDS et RGPD, résilience opérationnelle y sont analysés en détail.
Former et sensibiliser les équipes hospitalières à la cybersécurité
La dimension humaine reste le maillon décisif. Le hameçonnage demeure le vecteur d’attaque le plus répandu : il initie environ 60 % des cyberattaques en France, tous secteurs confondus. Or, dans un hôpital, chaque professionnel — soignant, administratif, technicien — constitue un point d’entrée potentiel.
Les actions de sensibilisation doivent être concrètes et régulières : campagnes simulées de hameçonnage, exercices de crise, formations aux procédures de mode dégradé. Plus de 2 000 exercices de crise ont été réalisés dans le cadre du programme CaRE.
La formation ne doit pas se limiter aux équipes informatiques. Les soignants doivent savoir reconnaître un comportement anormal de leur poste et maîtriser les procédures de bascule vers le mode papier. Les dirigeants doivent intégrer la cybersécurité dans leur gouvernance. La Cour des comptes pointe un sous-investissement chronique : 1,7 % seulement du budget d’exploitation est consacré au numérique, contre 9 % dans le secteur bancaire. Six établissements sur dix allouent moins de 5 % de leur budget informatique à la cybersécurité.
La cybersécurité hospitalière n’est plus un sujet technique réservé aux DSI. C’est un enjeu de continuité des soins, de protection des patients et de conformité réglementaire. Le cadre existe, les financements sont mobilisés. Reste à chaque établissement de s’en saisir.
FAQ SUR LES INCIDENTS CYBER
Qu’est-ce qu’un plan de réponse aux incidents cyber pour un hôpital ?
Il s’agit d’un document opérationnel qui décrit, étape par étape, la marche à suivre lorsqu’un événement malveillant compromet tout ou partie du système informatique d’un établissement de santé. Ce protocole couvre la chaîne complète, du repérage de l’anomalie jusqu’à l’analyse rétrospective post-crise, en passant par l’isolement des équipements infectés et la remise en service progressive des applications critiques. Son objectif : maintenir la prise en charge des patients même lorsque l’outil numérique fait défaut.
Quelles sont les premières actions à mener lors d’une cyberattaque en établissement de santé ?
La priorité absolue est de limiter la propagation : cela implique de couper la connexion Internet, de segmenter le réseau et de suspendre l’usage des postes potentiellement contaminés. Parallèlement, l’établissement doit activer sa cellule de crise, notifier l’agence régionale de santé et le CERT Santé, et basculer vers un fonctionnement alternatif (dossiers papier, téléphonie mobile, messagerie de secours). Si des données personnelles sont compromises, une déclaration à la CNIL doit intervenir sous 72 heures.
Quelles obligations légales encadrent la cybersécurité des hôpitaux en France ?
Plusieurs couches réglementaires s’appliquent simultanément. Le programme national CaRE conditionne ses financements à la réalisation d’audits, de tests de continuité d’activité et d’exercices de simulation annuels. La directive européenne NIS 2, en voie de transposition, étend le périmètre des entités soumises à des exigences de notification rapide. Enfin, le RGPD oblige tout responsable de traitement à signaler les violations de données dans un délai strict, tandis que la Haute Autorité de santé évalue désormais la maturité numérique lors de la certification des établissements.
26 mai 2026