
- Accueil
- Cybersécurité
- La difficile protection des données de santé
La difficile protection des données de santé


En 2023, 10 % des victimes d’attaques par des rançongiciels sur le territoire français étaient des hôpitaux, qu’ils soient publics ou privés, selon les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La vulnérabilité des systèmes d’information des hôpitaux et leur interconnexion accrue avec des systèmes d’information extérieurs les placent au troisième rang des secteurs les plus touchés, après les collectivités territoriales et les entreprises.
« La fragilité des systèmes d’information hospitaliers tient à leur complexité croissante, mesurée en nombre d’applications, sans équivalent dans d’autres secteurs d’activité (jusqu’à 1 000 applications pour les CHU les plus importants) et au sous-investissement chronique dans le numérique (1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation), auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements (postes de travail et serveurs ayant un système d’exploitation ne faisant plus l’objet de maintenance, équipements de réseaux et applicatifs « métiers » ne pouvant plus être réparés ou mis à jour) et la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier », rappelle la Cour des Comptes dans un rapport publié début janvier 2025.
Des données de santé omniprésentes difficiles à protéger
Selon les évaluations réalisées par des hôpitaux victimes de cyberattaques, le coût pour un hôpital peut atteindre 10 millions d’euros pour la gestion de la crise et la remédiation, et 20 millions d’euros pour la perte de recettes d’exploitation, rapporte la Cour des Comptes. Ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé.
« Les données de santé ne sont pas n’importe quelles données. Beaucoup de gens ne voient que le dossier patient. Mais en réalité, la donnée de santé couvre un périmètre beaucoup plus large. Une donnée issue d’un appareil aidant au diagnostic d’une radio, c’est de la donnée de santé. Aujourd’hui, nous avons vraiment un enjeu avec ces données-là parce que les échanges ne sont pas cantonnés à l’hôpital : les données de santé circulent entre hôpitaux, médecins libéraux, collectivités, associations, médecine du travail… La donnée de santé se trouve à peu près partout », déclare Philippe Loudenot, Cyber Security Strategist / DPO chez BlueFiles.
Le Dr Xavier Alacoque, Responsable de la sécurité des systèmes d’information et directeur des données et de l’IA au sein de l’IUCT-Oncopole, complète : « La donnée de santé est une donnée que tout le monde essaye de processer et de manipuler. De grands acteurs comme Google, Microsoft et IBM s’y attèlent, mais la donnée de santé – silotée et non interopérable – est captive du système de soins. Et comme nous n’avons pas la maturité nécessaire et que les investissements indispensables n’ont pas été réalisés, les échanges se font à la hussarde, sans uniformisation ».
Et il ajoute : « Quand j’ai commencé à pratiquer, j’ai prêté serment de taire toutes les informations que je pouvais collecter sur un patient. Par la suite, je me suis tourné vers la cybersécurité parce que l’ensemble de nos moyens étaient orientés vers le numérique. Mais cela a été l’expérience du pire : je me suis retrouvé face à des systèmes informatiques de santé qui ont été pendant très longtemps négligés. Les directeurs d’hôpitaux préféraient faire de la qualité et de l’accessibilité en investissant dans un scanner 100 fois plus rapide plutôt que d’investir dans des systèmes de cybersécurité ».
Autre obstacle à une protection efficace des données de santé : le très faible niveau de formation des personnels de santé en termes de cybersécurité : « Les professionnels de santé ne sont pas formés numériquement, cela ne fait pas partie de leur travail. Il faut donc mettre en place des systèmes de sécurité en mode ‘airbag’, c’est-à-dire transparents, qui agissent sans que vous ne les voyiez. Si ces systèmes deviennent problématiques, les salariés les contournent, avec toutes les déviances que l’on peut imaginer », note Philippe Loudenot.
Une masse de réglementations qui complique le travail des RSSI
Pour Vincent TRELY, Président et fondateur de l’APSSIS, un des autres freins pour les RSSI évoluant dans le secteur de la santé est la masse des réglementations existantes. « Les RSSI doivent agréger un certain nombre de réglementations et de textes qui, finalement, disent à peu près tous la même chose. Voici quelques exemples : les établissements de santé sont soumis au RGPD. Il leur faut donc sécuriser les traitements de données à caractère personnel. Les directives NIS 1 et 2 amènent de leur côté une vingtaine de règles supplémentaires. En parallèle, les RSSI doivent appliquer les 43 mesures du référentiel intitulé « Les mesures prioritaires de sécurité des systèmes d’information » poussé par le ministère de la Santé. Il faut également tenir compte des grands textes qui parlent de sécurité comme l’AI Act et le Digital Service Act », analyse-t-il.
« En imaginant que les RSSI aient des velléités de devenir une sorte de cloud privé, ils vont également devoir recourir à la certification Hébergeur de données santé (HDS), qui elle-même inclut la norme ISO 27001, à laquelle il faut ajouter la Politique générale de sécurité des systèmes d’information de santé. Sans oublier le code de la santé publique et la CNIL… Face à cette masse de textes, beaucoup d’experts se posent la question de savoir si le recours à une certification internationale comme ISO 27001 ne permettrait pas de simplifier et d’homogénéiser les différentes obligations réglementaires… » questionne-t-il.
Il faut aussi prendre en considération le nombre de comptes rendus obligatoires qu’un établissement de santé doit réaliser dans les 72 heures qui suivent une cybercrise. « Il en existe plus de dix. Je vous laisse imaginer une gestion de crise avec dix correspondants qui vous demandent des comptes rendus toutes les demi-heures en raison de la pression des médias qui peut être très forte dans pareil cas. C’est tout simplement impossible », note de son côté Philippe Loudenot.
Des initiatives notables au niveau de l’État prises ces dernières années
Dans ce contexte, la France s’est progressivement organisée pour lutter contre les cyberattaques et renforcer les systèmes d’information des établissements de santé. La mise en place en 2017 du CERT Santé par le ministère de la Santé et de la Prévention en témoigne. Cette cellule, dédiée au traitement des signalements des incidents de sécurité pour les systèmes d’information des structures de santé, est chargée d’accompagner l’ensemble des établissements de santé et des structures médico-sociales dans leur réponse aux incidents de cybersécurité.
« Le CERT santé permet de recueillir des incidents et de lever des lièvres comme par exemple le fait qu’un fournisseur de dispositifs biomédicaux ait un seul et même mot de passe pour accéder à tous ses dispositifs sur l’ensemble des structures hospitalières françaises. Mot de passe connu de tous, car il circule sur internet », fait remarquer Philippe Loudenot.
« En 2023, 581 incidents ont été signalés. Il ne s’agit pas nécessairement de cyberattaques à chaque fois, mais cela nous permet, d’année en année, de pouvoir comparer et d’analyser la typologie des incidents. Certains incidents majeurs sont parfois très visibles dans la presse, car impactant directement la santé et la prise en charge des usagers. Ils génèrent aussi beaucoup de craintes auprès du grand public », précise Auriane Lemesle, Référente régionale Sécurité des Systèmes d’Information e-santé au sein de la région Pays de la Loire.
En 2022, des cyberattaques ayant fait grand bruit dans les médias ont touché le Centre Hospitalier Sud Francilien de Corbeil-Essonnes (CHSF) et le Centre Hospitalier de Versailles. Une réelle mobilisation au niveau de l’État a permis la mise en place du programme CaRE (Cybersécurité accélération et Résilience des Établissements) qui s’est traduit par une « Feuille de route du numérique en santé » sur la période 2023-2027. Cette feuille de route avait comme objectif de rehausser assez rapidement le niveau de sécurité et surtout de se donner les moyens de la faire perdurer dans le temps auprès de l’ensemble de l’écosystème.
La Feuille de route du numérique en santé 2023-2027 se décline en quatre grands axes. Le premier concerne la gouvernance. Le but est de faire en sorte que les directeurs de structures hospitalières et médico-sociales prennent le sujet au bon niveau et à la bonne hauteur. « La feuille de route prévoit l’inclusion de nouveaux critères dans les certifications délivrées par la Haute Autorité de Santé pour les établissements comprenant du numérique et de la cybersécurité, afin d’en faire un projet d’établissement et non plus un projet du service informatique. L’obligation de réaliser des exercices de crise est également présente. Cela permet d’éveiller les consciences et de mettre en lumière la nécessité de travailler les sujets autour de la continuité d’activité », note Auriane Lemesle.
Le deuxième axe touche à la mutualisation des ressources. « L’attractivité du secteur de la santé est un peu inférieure à celle du secteur privé. Il y a donc nécessité pour les structures de se regrouper. Cela concerne notamment les groupements hospitaliers de territoires. L’ambition est de créer une convergence des systèmes d’information et de mutualiser les équipes. Cela concerne aussi les petites structures médico-sociales. Le but est de les inciter à se regrouper au niveau de Groupements de coopération sanitaire », ajoute Auriane Lemesle. Le deuxième axe met aussi en lumière la possibilité, au niveau des Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS), de proposer des offres autour de la cybersécurité, ainsi que des accompagnements mutualisés à destination de certaines structures qui n’en ont pas les moyens.
Le troisième axe concerne la formation et la sensibilisation. « Le numérique et la cybersécurité ne font pas partie du cœur de métier des professionnels de santé, ni des dirigeants. Il existe désormais une obligation d’inclusion du numérique et de la cybersécurité dans les formations initiales et continue des professionnels de santé et des dirigeants. Par ailleurs, des offres de sensibilisation permettent d’acculturer les professionnels au fil de l’eau et à chaque occasion où cela est possible », précise Auriane Lemesle. Enfin, le quatrième axe s’oriente davantage vers la sécurité opérationnelle. « Grâce au retour des incidents traités par le CERT Santé, plusieurs points durs ont pu être identifiés. Ces points durs portent sur la sécurisation des Active Directory, l’exposition sur internet, les sauvegardes, les accès distants des professionnels et des fournisseurs, l’authentification forte, etc. », complète Auriane Lemesle.
Autre initiative remarquable lancée par les autorités françaises : l’appel à projets HospiConnect dont l’ambition est de simplifier et de sécuriser l’accès aux services numériques sensibles. Cet appel à projets s’inscrit dans le cadre de l’axe « Sécurité opérationnelle » du Programme CaRE dont l’objectif est de limiter les risques d’usurpation de l’identité numérique des professionnels de santé (entre autres).
« HospiConnect consiste à mettre en place un SSO avec authentification à deux facteurs (2FA), une gestion des identités et des accès (IAM) centralisée et une meilleure sécurisation de l’Active Directory… Dès lors qu’une identité numérique est créée pour les soignants, un transfert semi-automatisé s’opère vers Pro Santé Connect qui permet de communiquer via des applications étatiques. Cela pose cependant énormément de problèmes d’un point de vue structurel, organisationnel et éthique. Par exemple, quand nous demandons aux soignants de s’identifier sur un terminal ou un clavier de très nombreuses fois pendant leur service, le Comité de lutte contre les infections nosocomiales (CLIN) s’y oppose, au motif que le terminal, l’écran ou le clavier ne sont pas régulièrement désinfectés », conclut le Dr Xavier Alacoque.
La cybersécurité des hôpitaux demeure un défi majeur, accentué par des systèmes d’information complexes, un sous-investissement chronique et un manque de sensibilisation du personnel. Face à l’ampleur des menaces, l’État a mis en place des initiatives structurantes, comme le programme CaRE et HospiConnect, visant à renforcer la résilience des établissements de santé. Toutefois, la mise en œuvre de ces mesures nécessite une mobilisation continue et une prise de conscience accrue des enjeux de cybersécurité à tous les niveaux.
Retrouvez l’intégralité du petit déjeuner : https://www.youtube.com/watch?v=k9-U85prGsk&list=PLsaypbHfNQumSqkl2F1e_3bVvM4q91VZK
la newsletter
la newsletter