Avec la dématérialisation généralisée des opérations et des dossiers patients, la cybersécurité se retrouve au cœur des préoccupations des structures de santé. Dans de récents rapports reçus par l’Office for Civil Rights (OCR), agence rattachée au Department of Health and Human Services (HHS) étatsunien, les compromissions de données dans ce secteur ont atteint un nouveau record en 2024 : 14 compromissions de données concernant plus de 1 million de dossiers médicaux aux États-Unis, ce qui touche 237 986 282 personnes, soit environ 69,97 % de la population nationale.
Une flambée sans précédent, portée par des cyberattaques sophistiquées, notamment par ransomware ou phishing, qui souligne l’urgence d’une défense robuste pour protéger les informations médicales à caractère sensible. Ces compromissions menacent non seulement la confidentialité des patients, mais perturbent également les opérations cliniques, entraînant d’éventuels retards dans la délivrance de soins vitaux.
Dans ce guide, nous examinerons les problèmes de cybersécurité qui gangrènent actuellement le secteur de la santé. Ainsi, nous explorerons les principales menaces, problématiques, stratégies de gestion des risques et bonnes pratiques pour protéger les données sensibles tout en assurant la continuité des soins.
La cybersécurité dans la santé aujourd’hui
Toujours plus sophistiquées, les cybermenaces planant sur le secteur de la santé évoluent à vitesse grand V, avec un en toile de fond un cadre réglementaire complexe. Plus précisément, les attaques par ransomware contre les établissements de santé ont explosé. D’après le rapport « Data Breach Investigations – DBIR – 2025 » de Verizon, le secteur a subi cette année 1 710 incidents de sécurité, avec 1 542 expositions de données confirmées. Les intrusions système, notamment par ransomware et à des fins d’espionnage, suscitent de vives préoccupations.
En outre, les tentatives de phishing spécialement pensées pour le secteur de la santé se généralisent de manière inquiétante. En 2024, le rapport « Breach Portal » du HHS OCR, aussi communément appelé le "« tableau de déshonneur » de l’OCR", révèle que 79 établissements de santé ont reçu des e-mails qui visaient à déclencher des incidents IT pour faciliter les intrusions, les accès non autorisés et les divulgations. Le nombre de patients touchés par structure variait entre 500 et 464 159 – et encore, nous n’avons que les données des incidents signalés.
Les chiffres 2025 du rapport Breach Portal de l’OCR sont alarmants : entre le 1er janvier et le 23 avril, les services de santé ont essuyé 39 incidents, avec entre 515 et 494 326 personnes touchées par établissement.
Du reste, ces attaques peuvent coûter très cher. Ainsi, le rapport IBM « Cost of a Data Breach » de 2024 chiffrait le coût moyen d’une compromission par phishing à 9,77 millions de dollars US par incident dans la santé, qui figure ainsi parmi les secteurs les plus impactés financièrement par les cyberattaques.
Données DPI et IoMT : des enjeux considérables
L’explosion des cybermenaces coïncide avec la généralisation des dossiers patients informatisés (DPI) et de l’Internet des objets médicaux (IoMT). Partage des données fluidifié, suivi des patients en temps réel, efficacité opérationnelle améliorée… ces technologies ont véritablement révolutionné le secteur. D’un côté, les DPI centralisent les informations médicales sensibles et rationalisent ainsi les workflows cliniques. De l’autre, les dispositifs IoMT (pacemakers, pompes à perfusion et équipements d’examen connectés, entre autres) améliorent la qualité des soins et des diagnostics à distance.
Revers de la médaille, ces avancées étendent considérablement la surface d’attaque, augmentant l’exposition aux méthodes sophistiquées telles que le phishing, les ransomwares et les exploitations de vulnérabilités dans l’IoMT. En bref, leurs avantages significatifs en matière de soin et d’efficacité générale engendrent de nouveaux enjeux de cybersécurité pour les établissements de santé. Sans sécurisation adéquate, ces technologies amplifient fortement le risque de compromission des données et d’infraction aux réglementations sectorielles. Or, les défauts de conformité risquent d’être lourdement sanctionnés, notamment par des amendes.
S’orienter dans le dédale des réglementations de conformité
Difficile d’assurer la conformité à un système complexe de normes réglementaires. Entre la Health Insurance Portability and Accountability Act (HIPAA) aux États-Unis, le Règlement général sur la protection des données (RGPD) lorsque les données de citoyens de l’Union européenne sont impliquées, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada, ou encore le programme Notifiable Data Breaches intégré au Privacy Act 1988 en Australie. Toutes ces réglementations imposent aux structures internationales de strictes mesures de protection des données.
Et les sanctions en cas de non-conformité peuvent être sévères. En 2024, le HHS OCR a infligé aux acteurs de ma santé un total de 12,84 millions $ d’amendes, du fait d’infractions au règlement HIPAA liées à des compromissions de données. Quant aux infractions criminelles de cette loi, l’amende minimale s’élève à 50 000 $, tandis que le maximum monte jusqu’à 250 000 $ pour les infractions commises par des individus. Le coupable peut être contraint à verser un dédommagement et encourt même des peines d’emprisonnement, en fonction du niveau d’infraction. Les sanctions pécuniaires civiles varient entre 141 $ et 2 134 831 $ par infraction.
De la même manière, le RGPD impose des mesures de protection des données rigoureuses, comme le chiffrement et la notification dans un délai de 72 heures en cas de compromission, avec des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global annuel, si celui-ci est supérieur. Au Canada, la LPRPDE régit les données de santé en imposant notamment des exigences de consentement des patients et de minimisation des données, avec des amendes pouvant s’élever à 100 000 dollars canadiens par infraction. En Australie, le programme NDB, intégré au Privacy Act par amendement en 2024, prévoit des peines jusqu’à 50 millions de dollars australiens ou 30 % du chiffre d’affaires annuel pour les infractions graves.
Pour se prémunir de ces sanctions, il est absolument capital d’adopter des mesures de cybersécurité préventives et exhaustives, tout en faisant preuve d’une hypervigilance constante sur l’ensemble de la surface d’attaque.
Tour d’horizon des cybermenaces les plus courantes
Une myriade de cybermenaces plane sur le secteur de la santé, mettant en danger les soins aux patients et l’intégrité des systèmes. Les risques recensés ci-dessous visent à exploiter la moindre faille pour perturber les opérations et dérober des données sensibles. Les nouvelles compromissions des appareils médicaux actuels ouvrent des brèches dans lesquelles les cybercriminels s’engouffrent, menaçant ainsi la sécurité des patients.
Attaques par phishing – Le phishing reste l’une des techniques les plus répandues et les plus dangereuses pour les structures de santé. Dans une enquête menée en novembre et décembre 2024 sur la cybersécurité dans la santé, la Healthcare Information and Management Systems Society (HIMSS) a découvert un certain nombre d’incidents causés par différentes formes de phishing :
Phishing par e-mail - 63 %
Phishing par SMS - 34 %
Spear phishing - 34 %
Compromission de messagerie professionnelle (BEC) - 31 %
Sites de phishing - 21 %
Publicités malveillantes - 20 %
Phishing sur les réseaux sociaux - 19 %
Vishing (phishing par messagerie vocale) - 17 %
Whaling (usurpation de l’identité des dirigeants) - 16 %
La prédominance du phishing parmi les cybermenaces visant les établissements de santé souligne l’urgence de s’armer d’un écosystème de défense complet. En outre, la diversité des techniques employées requiert des capacités de détection des menaces avancées, de stricts contrôles des accès et une formation rigoureuse des collaborateurs – conditions indispensables à la protection des données sensibles et à la conformité réglementaire.
Ransomwares et malwares – Les attaques par ransomware et par malware peuvent paralyser les systèmes hospitaliers, perturber les soins critiques et exposer de grands volumes de DPI. Par la nature même de ses opérations, avec des enjeux de vie ou de mort, le secteur de la santé fait partie des cibles privilégiées des cybercriminels, le moindre incident pouvant avoir des conséquences dramatiques.
Dans son rapport 2024, l’Office of Information Security and the Health Sector Cybersecurity Coordination Center (HC3) du HHS a confirmé que plus de 460 structures de soin aux États-Unis avaient été visées par des attaques perpétrées par des groupes comme LockBit, CIOp, ALPHV et BianLian. Lors d’un incident majeur dans le réseau d’un grand hôpital, quelque 500 000 patients en ont payé les frais : retard de soin, annulation de rendez-vous, déviation d’ambulance, etc. Résultat, les DPI étaient inaccessibles, imposant une transition vers le format papier. Les logiciels de paie et les portails patients ont été perturbés. En tout, les dégâts ont été évalués à 100 millions $.
Menaces internes – Simples erreurs ou actes de malveillance, les menaces internes représentent un risque important pour les établissements de santé. Des collaborateurs aux prestataires externes, en passant par les sous-traitants, toute personne ayant accès aux systèmes sensibles (tels que les données DPI) est susceptible d’en compromettre la sécurité. Même sans mauvaise intention, il suffit de faire preuve de négligence dans la gestion des données ou de divulguer des données sans autorisation. Ces menaces accentuent la vulnérabilité de la surface d’attaque, que l’essor des DPI et de l’IoMT ne cesse d’étendre.
Les incidents causés par des acteurs internes sont lourds de conséquences : compromission de données, perturbations opérationnelles, sanctions au titre des réglementations internationales (HIPAA, RGPD, LPRPDE, NDB, etc.). Pour réduire ces risques, les acteurs de la santé doivent appliquer des contrôles d’accès stricts, mettre en place des systèmes de surveillance robustes et sensibiliser les équipes aux enjeux de sécurité à travers des formations complètes conçues pour les environnements sous forte pression.
Compromission des appareils médicaux – Véritable révolution du soin, la connectivité des dispositifs médicaux nouvelle génération (pompes à perfusion, appareils d’imagerie, moniteurs individuels…) permet d’intégrer les données en temps réel et d’assurer les traitements à distance. Ces appareils IoMT se connectent aux DPI et aux réseaux hospitaliers, améliorant l’efficacité opérationnelle et la qualité des soins.
Néanmoins, cette innovation accentue considérablement les risques pour la cybersécurité, car elle crée des vecteurs d’attaque. En effet, nombre d’appareils IoMT exécutent des logiciels obsolètes ou sont dépourvus de solides fonctions de chiffrement, ce qui les rend vulnérables aux exploitations. Par exemple, les systèmes non corrigés risquent d’être compromis lors d’attaques par phishing ou d’intrusions directes sur le réseau, entraînant potentiellement l’exposition des données DPI. Au-delà du risque de compromission des données, ces vulnérabilités menacent la sécurité même des patients : les hackers ont le pouvoir de manipuler les appareils de soin en modifiant les dosages ou en falsifiant les signes vitaux, avec des conséquences cliniques graves voire mortelles.
Principaux enjeux de cybersécurité
Vu les diverses tactiques déployées, force est de constater que les établissements de santé sont confrontés à des enjeux de cybersécurité de grande ampleur. Ransomwares, malwares, menaces internes… les répercussions des différents types d’attaques sont exacerbées par les problématiques propres à certains services. Par conséquent, il est essentiel de régler ces problèmes pour assurer la sécurité et protéger l’intégrité des systèmes, face à la variété des attaques. À quels obstacles votre structure de santé se heurte-t-elle le plus ?
Systèmes obsolètes et logiciels d’ancienne génération – Nombre d’établissements reposent sur des technologies dépassées, qui ne sont plus compatibles avec les mises à jour de sécurité requises pour protéger les données critiques contre les nouvelles attaques. La solution ? Appliquer des mises à jour logicielles régulières, tant sur les machines des utilisateurs que dans le data center et le cloud. Quant aux équipements d’ancienne génération, qui n’ont pas été pensés pour les menaces d’aujourd’hui, il faut les décommissionner et les remplacer par du matériel de pointe. Faute de quoi, les établissements s’exposent à de lourdes conséquences : compromissions de données, pertes financières, sanctions réglementaires et mise en danger des patients.
Contraintes budgétaires – Les budgets limités sont monnaie courante dans les structures de santé. Dans un tel contexte, les besoins opérationnels immédiats l’emportent souvent sur des mesures de sécurité robustes à long terme. Problème : cette approche crée des failles dans les défenses contre les menaces sophistiquées. Sans les financements adéquats, les services de santé se retrouvent d’autant plus exposés aux cyberattaques. Pour composer avec les restrictions budgétaires sans compromettre la cybersécurité, une attribution stratégique des ressources s’impose.
Casse-tête réglementaire – Concilier les nombreuses obligations juridiques liées à la santé avec celles pour la sécurité des informations n’a rien d’une formalité. Pour garantir la conformité aux réglementations (HIPAA, RGPD, LPRPDE, NDB, etc.), il faut d’abord bien cerner leurs exigences et instaurer des mesures solides pour la protection des données. Sans quoi, l’établissement encourt des amendes ou sanctions lourdes, voire des peines d’emprisonnement en cas de compromission.
Risques tiers – Les établissements de santé dépendent souvent d’un patchwork de fournisseurs, sous-traitants et partenaires, dont la plupart ont accès aux données sensibles ou aux systèmes critiques, comme les DPI. S’ils ne font pas l’objet d’une vérification minutieuse au préalable, ces acteurs externes peuvent introduire des risques importants pour la cybersécurité. Tels des maillons faibles, ils compromettraient alors l’ensemble de la chaîne de sécurité. Il est donc primordial de veiller à la posture de sécurité des partenaires, en exigeant des évaluations des risques rigoureuses, des obligations de sécurité contractuelles et un monitoring continu en conformité avec les cadres réglementaires. Prioriser ce levier d’action permet ainsi de réduire les risques et de protéger les données patients.
Scalabilité et problématiques d’adoption du cloud – La migration vers des environnements cloud offre des avantages considérables aux acteurs de la santé, notamment une scalabilité accrue et des accès simplifiés aux DPI. Côté cybersécurité, le processus apporte toutefois son lot de défis. Dans leur déploiement de ressources cloud pour gérer les données patients ou de nouveaux services numériques, les structures de santé intègrent généralement des systèmes disparates (notamment des plateformes DPI obsolètes et des appareils IoMT). Or, les failles de sécurité ainsi importées facilitent les attaques par phishing et les intrusions directes. Ces problèmes de scalabilité mettent en exergue toute la difficulté de protéger les DPI. Pour capitaliser sur le cloud computing en toute sécurité, les établissements doivent adopter des mesures de protection rigoureuses, telles que l’authentification multifacteur (MFA), des audits réguliers et la détection des menaces avancées.
Cloud : les enjeux de sécurité pour les acteurs de la santé
Les technologies cloud ont révolutionné l’informatique d’entreprise dans tous les secteurs. C’est un fait. Alors que la tendance s’empare du secteur de la santé, les établissements migrent progressivement vers ce nouvel environnement et font face à de nouveaux problèmes de sécurité pour la protection des données médicales dans le cloud.
Une équation complexe à ne pas négliger, car il en va de la sécurité des données patients sensibles. En tête des causes des compromissions sur le cloud : les erreurs de configuration, comme un stockage cloud mal paramétré ou des bases de données non chiffrées, qui exposent ainsi les structures de santé aux accès non autorisés et aux risques d’exploitation. Par exemple, en 2025, une compagnie d’assurance maladie aux États-Unis a accidentellement exposé les DPI de 4,7 millions de patients sur une période de trois ans, à cause d’une erreur de configuration d’un bucket de stockage cloud.
L’insuffisance des contrôles d’accès amplifie ces risques : des autorisations utilisateurs trop permissives peuvent entraîner la compromission de systèmes critiques par des attaquants ou des acteurs internes négligents, voire malintentionnés. Et pour compliquer davantage la sécurité, le manque de visibilité sur l’ensemble de l’environnement cloud entrave la détection des anomalies ou la conformité réglementaire.
Gestion des risques :les bonnes pratiques
Dans le secteur de la santé, l’efficacité de la stratégie de cybersécurité repose sur une gestion des risques complète, adaptée aux vulnérabilités sectorielles telles que les appareils médicaux interconnectés et les données patients sensibles. Nous avons rassemblé pour vous quelques conseils et bonnes pratiques pour relever au mieux les défis de cybersécurité de la santé.
Planification de la réponse à incident – Élaborez une stratégie officielle de réponse aux compromissions de données et aux cybermenaces. Menez régulièrement des exercices de simulation pour garantir la préparation des équipes et minimiser l’impact des incidents. Une telle stratégie proactive accélère la reprise après sinistre et renforce la cyber-résilience face à l’évolution des risques.
Segmentation du réseau – Isolez les systèmes critiques (appareils médicaux, dossiers patients, etc.) afin d’endiguer la latéralisation et de protéger les données sensibles. Cette approche permet de limiter les accès non autorisés et de contenir les éventuelles compromissions dans des zones isolées du réseau, renforçant de fait la sécurité globale.
Contrôles des accès et authentification – Adoptez l’authentification multifacteur (MFA) et examinez régulièrement les comptes privilégiés pour sécuriser les accès aux systèmes sensibles. Grâce à de telles mesures, seules les personnes autorisées ont le droit d’interagir avec les données critiques, ce qui réduit significativement le risque d’accès non autorisé ou de compromission des données.
Protection des données et sauvegardes – Misez sur des solutions cloud sécurisées pour créer des copies sur de multiples sites, chiffrer les données et bénéficier d’un stockage immuable. Tels sont les piliers d’un système conçu pour protéger les données médicales dans le cloud. Lors du choix d’une solution de cybersécurité et de sauvegarde pour les services de santé , nous vous recommandons de peser les avantages du backup hybride et les difficultés de sauvegarder des données non structurées pour des systèmes comme l’imagerie PACS. Ces backups de stockage en réseau assurent la continuité opérationnelle, protègent les données patients dans le cloud ou on-prem et garantissent la qualité des soins.
Surveillance et détection des menaces en continu – Surveillez les journaux à la recherche d’activités inhabituelles et capitalisez sur l’IA ou les analyses comportementales pour détecter les anomalies en temps réel, deux stratégies indispensables à une posture de sécurité solide à long terme. Ces mesures de prévention permettent d’identifier et de neutraliser rapidement les menaces potentielles, et ainsi de protéger les données sensibles.
Formation et sensibilisation des équipes – Organisez régulièrement des campagnes de sensibilisation à la cybersécurité pour former les équipes à l’identification et au signalement d’éventuelles menaces. En encourageant ainsi la vigilance, vos collaborateurs ne constituent plus des vulnérabilités latentes, mais prennent pleinement part au combat contre les cybercriminels.
Collaboration et partage des informations – Contribuez à des centres de partage d’informations et d’analyses propres à votre secteur pour bénéficier de la dernière Threat Intelligence et collaborer au développement de standards sectoriels de sécurité.
Réponse à incident et reprise après sinistre – Définissez clairement votre plan de réponse à incident. Celui-ci permettra de minimiser l’impact d’une compromission de sécurité ou d’une panne système. En plus de la réponse à incident, il est aussi crucial d’établir des plans solides pour la reprise après sinistre et la continuité opérationnelle.
La voie à suivre
Face aux enjeux de sécurité de la santé, établissements, fournisseurs de technologies et agences gouvernementales doivent travailler de concert selon une approche multidimensionnelle. Voici les étapes clés à suivre dès aujourd’hui :
Priorisation de la cybersécurité dans les enveloppes budgétaires et la planification stratégique
Investissement dans une infrastructure sécurisée de nouvelle génération et décommissionnement des systèmes obsolètes
Partenariat avec des fournisseurs de cybersécurité chevronnés en renfort des capacités internes
Formation continue sur la sécurité et programmes de sensibilisation pour tous les collaborateurs
Participation à des initiatives sectorielles de partage d’informations et de collaboration
Avec une approche complète et proactive de la cybersécurité, les structures de santé renforcent la protection des données patients, assurent la continuité opérationnelle et se recentrent sur leur cœur de mission : dispenser des soins de qualité.
Reprenez les commandes de la sécurité de votre établissement et agissez dès aujourd’hui pour la protection de vos données. Il en va de la sécurité des patients. Contactez Rubrik pour en savoir plus sur nos solutions de cybersécurité pour la santé.