Cybersécurité en santé : quels défis pour un secteur déjà sous pression ?

Quel est le panorama des menaces cyber en santé ?

Les hôpitaux dans la ligne de mire 

Les établissements de santé sont de plus en plus exposés à la cybercriminalité. En 2022-2023, ce sont près de 30 hôpitaux français qui ont été visés par des ransomwares (logiciels malveillants qui bloquent l’accès à des données ou à un système informatique et exigent une rançon pour les débloquer), représentant quelque 10% des incidents signalés à l’ANSSI (Agence nationale de la sécurité des systèmes d'information) sur cette période. 

Les infrastructures sanitaires constituent également la cible privilégiée d'autres formes de cyber menaces, caractérisées par des finalités d'espionnage industriel ou de déstabilisation opérationnelle (attaques par déni de service distribué, compromission systémique à des fins de divulgation publique de données sensibles).

En avril 2024, l'hôpital de Cannes a été victime d'une cyberattaque par le groupe LockBit, entraînant l'exfiltration de 61 Go de données sensibles, notamment des informations sur les patients et le personnel.

Publié en janvier 2025, un rapport de la Cour des comptes souligne l'insuffisance des mesures de protection dans les établissements de santé. Il met en évidence le sous-investissement dans le numérique, avec seulement 1,7% du budget d'exploitation des hôpitaux consacré à la cybersécurité, contre 9% par exemple dans le secteur bancaire.
 

Les professionnels libéraux, victimes eux aussi 

Contrairement aux établissements hospitaliers, les professionnels de santé libéraux disposent de ressources plus limitées et sont parfois peu sensibilisés aux risques cyber.

Ils sont pourtant exposés, entre autres :

• au phishing (hameçonnage) : le professionnel de santé reçoit un mail imitant celui d’un prestataire ou d’un partenaire de confiance dans le but de voler des informations ;
• au ransomware ;
• au vol de données sensibles de patients.
   

La sophistication des cybermenaces 

Le secteur connaît une professionnalisation des groupes criminels, qui déploient des cyberattaques de plus en plus ciblées et sophistiquées. La multiplication des systèmes "ransomware-as-a-service" (RaaS), notamment, augmente considérablement le nombre d'attaques et la diversité des menaces, dans des secteurs vulnérables comme celui de la santé, où les données sont particulièrement recherchées.

Pourquoi les cybercriminels visent-ils particulièrement le secteur de la santé ?

Si les cybercriminels s’intéressent aux données médicales, c’est parce qu’elles possèdent une valeur marchande élevée sur le dark web. Par nature, elles ont une forte richesse informationnelle, car elles contiennent des informations sur l’identité des patients, leur état de santé, des données financières ou encore d’assurance.

En outre, elles possèdent une longue durée de vie, contrairement aux données bancaires par exemple : on ne modifie pas son état de santé ou ses antécédents médicaux…

Par ailleurs, les données médicales sont souvent hébergées sur des systèmes d’information vieillissants, qui présentent des écueils majeurs en matière de maintenance et de mise à jour. Leur intégration s'avère souvent difficile dans des systèmes exploitant des technologies plus récentes, qui les rendraient plus résilientes face aux attaques.

La Cour des comptes elle-même pointe la multiplicité des systèmes d’exploitation et des applications, qui rend complexe leur sécurisation.

Autre écueil, l'intégration des dispositifs médicaux connectés, comme les pompes à perfusion, les systèmes d'appel infirmier et les caméras IP, a considérablement élargi la surface d'attaque des établissements de santé.

Enfin, le personnel médical et administratif, souvent mal formé aux enjeux de la cybersécurité, peut être vulnérable aux attaques de phishing et à d'autres formes d'ingénierie sociale. Le manque de formation et de sensibilisation entraîne des erreurs humaines qui peuvent compromettre la sécurité des systèmes d'information.
 

Quelles sont les conséquences d’une cyberattaque pour les professionnels de santé ou les hôpitaux ?

L’arrêt des activités

Les cyberattaques, notamment par rançongiciel, peuvent entraîner une paralysie totale ou partielle des systèmes d'information hospitaliers. Ces attaques génèrent des coûts considérables : en moyenne 10 millions d'euros pour gérer la crise et remettre le système en état et 20 millions d’euros pour compenser la perte d’exploitation, comme le révèle le rapport de la Cour des comptes.

Les attaques informatiques peuvent perturber gravement la continuité des soins. Des services comme les urgences peuvent être temporairement fermés, et certaines opérations, reportées. Par exemple, le Centre Hospitalier d'Armentières a dû fermer ses urgences pendant 24 heures après une cyberattaque, ce qui a entraîné des risques accrus pour la santé et la sécurité des patients.

Les professionnels de santé libéraux ne sont pas non plus à l’abri d’une attaque par rançongiciel et de ses conséquences. Ils devront assumer le coût financier de la remise en état de leur système d’information et subir la perte d’exploitation liée à l’impossibilité de recevoir des patients pendant ce laps de temps.
 

Des risques juridiques et réglementaires

En cas de violation de données personnelles, les établissements de santé comme les libéraux ont l'obligation de notifier l'incident à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. Si la violation présente un risque élevé pour les droits et libertés des personnes concernées, les patients doivent également être informés dans les meilleurs délais, selon l'article 34 du RGPD.

Les établissements de santé et les libéraux peuvent également voir leur responsabilité civile engagée en cas de cyberattaque ayant causé des préjudices à des tiers, patients ou partenaires et résultant de la perte ou de la divulgation non autorisée de données personnelles sensibles.

En plus des amendes prévues par le RGPD, ils peuvent être soumis à des sanctions administratives en cas de non-conformité aux obligations de cybersécurité. Dans certains cas, la CNIL peut prononcer des avertissements, des mises en demeure ou des interdictions temporaires de traitement de données.

Atteinte à la réputation

Les cyberattaques ont des conséquences directes sur la confiance des patients. Lorsqu’un établissement ou un cabinet subit une violation de ses systèmes, la divulgation non autorisée de données sensibles ou l'interruption des soins, les patients peuvent se sentir vulnérables et exposés, et préférer consulter ailleurs.

Il en résulte une image dégradée, avec des patients et des partenaires qui remettent en question la capacité à protéger les données sensibles.

L’atteinte à la réputation peut ainsi mener à une perte conséquente de chiffre d’affaires.

Quelles stratégies de protection et de prévention pour lutter contre les cyberattaques en santé ?

Pour lutter efficacement contre les cyberattaques dans le secteur de la santé, plusieurs stratégies de protection et de prévention ont été mises en place au niveau institutionnel. Elles visent à renforcer la résilience des établissements de santé face aux menaces numériques croissantes.
 

Au niveau institutionnel 

Le programme CaRE, piloté par l'Agence du Numérique en Santé (ANS), a été lancé pour renforcer la cybersécurité des établissements de santé. Doté d'un financement de 250 millions d'euros jusqu'en 2025, avec un objectif de 750 millions d'euros d'ici 2027, il s'articule autour de quatre axes principaux :

• La gouvernance et sa résilience : il s’agit à terme de structurer la gouvernance de la cybersécurité au sein des établissements et de renforcer leur capacité à réagir face aux incidents cyber.
• Les ressources et leur mutualisation : le but est d’encourager le partage de ressources et d'outils entre établissements pour optimiser les investissements en cybersécurité.
• La sensibilisation du personnel aux risques numériques et aux bonnes pratiques en matière de sécurité informatique.
• La sécurité opérationnelle : elle porte sur les mesures techniques à mettre en place pour sécuriser les systèmes d'information, comme la gestion des accès, la surveillance des réseaux et la mise à jour des infrastructures.
  
  En parallèle, la stratégie nationale de cybersécurité des établissements de santé, présentée en février 2021, a pour objectif de renforcer la sécurité des systèmes d'information hospitaliers. Elle prévoit un investissement de 350 millions d'euros spécifiquement dédiés à la cybersécurité des établissements de santé et médico-sociaux.
  
  Enfin, la réalisation régulière d'exercices de crise devient une nécessité pour les établissements de santé. Ils permettent de tester la réactivité des équipes face à des incidents cyber et d'identifier les points d'amélioration dans les procédures de gestion de crise.
   

Pour les professionnels libéraux

En tant que professionnel de santé libéral, pour se prémunir contre les attaques cyber, il reste essentiel d’adopter de bonnes pratiques de cybersécurité comme :

• La sauvegarde régulière des données : il convient également de vérifier que les sauvegardes peuvent être restaurées efficacement et de stocker ces copies dans un environnement sécurisé.
• La mise à jour des systèmes : les mises à jour de sécurité doivent être installées dès qu’elles sont disponibles pour éviter toute exploitation des vulnérabilités par des cybercriminels.
• La formation initiale et continue du personnel ;
• Le contrôle des accès aux systèmes d’information ;
• Une veille régulière des alertes émises par des organismes comme l'ANSSI.
   

Quelles solutions technologiques adopter ?

Pour surveiller en temps réel l’activité des systèmes et détecter toute anomalie ou activité suspecte, les établissements et prestataires de santé peuvent s’équiper avec des outils de détection et de monitoring. Ils permettent d'identifier rapidement les tentatives d'intrusion ou les comportements anormaux dans les réseaux et les applications afin de pouvoir réagir immédiatement.

Autre piste à explorer, le chiffrement des données lorsqu’elles sont stockées ou envoyées, afin de garantir leur confidentialité.

Enfin, il est essentiel de mettre en place une authentification renforcée pour limiter l'accès aux systèmes informatiques de santé aux seules personnes autorisées. L'authentification multi-facteurs (MFA), par exemple, est une méthode efficace pour vérifier l'identité de l'utilisateur.

Cyberattaque en santé : accompagnement et solutions

La MACSF met à disposition des professionnels de santé un guide complet pour comprendre les cyber-risques, spécifiques au secteur médical, et adopter les bonnes pratiques en matière de cybersécurité.

Dans cette optique, elle propose une assurance multirisque professionnelle qui inclut de base un pack cyber  :

• l’assistance 24h/24 et 7j/7 pour gérer les incidents en temps réel ;
• la gestion des demandes de rançon ;
• la couverture responsabilité civile en cas de mise en cause pour atteinte aux données de tiers ;
• l’indemnisation des pertes d'exploitation.
  
  En option, il est possible de choisir le pack Cyber Plus, qui offre des garanties renforcées sur la restauration de données, la communication de crise ou encore la prise en charge des frais liés à une tentative d’extorsion numérique.
  
  Face à la montée des cybermenaces, la vigilance et l'anticipation doivent se placer au cœur des priorités des établissements de santé et des professionnels libéraux pour garantir la sécurité des données et la confiance des patients.