Les établissements de santé font face à un feu nourri de cyberattaques. Des ransomwares capables de paralyser un hôpital entier jusqu’aux compromissions de données qui exposent au grand jour les informations des patients, les menaces arborent des formes multiples et changeantes.
Cet article passe en revue les aspects les plus importants de la cybersécurité pour aider les RSSI, les DSI et les responsables technologiques à mieux cerner les risques qui pèsent sur le secteur de la santé. Vous y découvrirez les dangers les plus courants, mais aussi les bonnes pratiques et les leviers d’action qui protègent votre structure, maintenant et pour longtemps.
Cybersécurité pour les acteurs de la santé : définition
La cybersécurité pour le secteur de la santé englobe les technologies, pratiques et processus conçus pour protéger les assets numériques des établissements contre les cybermenaces. Le périmètre
à sécuriser est vaste :
Dossiers patients informatisés (DPI) et données patients
Appareils médicaux connectés et IoT (Internet des objets)
Systèmes et réseaux informatiques de l’établissement
Plateformes de télésanté et technologies de soin à distance
Bases de données et de recherche ; données des essais cliniques
Mais la cybersécurité ne se limite pas à la protection des données. Elle contribue directement à la qualité des soins, préserve la réputation de l’établissement et garantit la continuité de ses opérations. À l’inverse, une compromission de données perturbe la prise en charge des malades. Conséquence, les établissements subissent de lourdes pertes financières et les patients perdent confiance dans le système de santé.
Tour d’horizon des cybermenaces les plus courantes
Nous l’avons vu, les acteurs de la santé dépendent de plus en plus des systèmes numériques. Or chacun de ces outils présente des vulnérabilités qui leur sont propres, et que les attaquants n’hésitent pas à exploiter.
Ainsi, les groupes de ransomware prennent en otage les données critiques pour perturber les soins aux patients. Des attaques qui peuvent coûter plusieurs millions de dollars en amendes et frais de restauration. Les acteurs malveillants ont également recours au phishing pour mettre la main sur les identifiants des utilisateurs et infiltrer le réseau. Le risque peut parfois venir de l’intérieur. C’est notamment le cas pour les menaces internes, qui incluent les divulgations accidentelles, mais aussi délibérées des données. Quant à l’essor des appareils médicaux connectés, il introduit de nouvelles vulnérabilités que les attaquants exploitent pour détourner les équipements ou faire main basse sur les informations.
D’où la nécessité pour le secteur de se protéger grâce à des mesures de cybersécurité robustes, capables de neutraliser des menaces aussi variées.
Ransomware – Les groupes de ransomware chiffrent les données de leurs victimes, qui doivent alors verser une rançon pour obtenir la clé de déchiffrement et accéder à leurs informations. Les structures de santé sont particulièrement vulnérables à ce type d’attaque, et ce pour deux raisons : 1) elles traitent des données ultra-sensibles et 2) elles doivent pouvoir accéder à tout moment aux informations de leurs patients. Le moindre incident peut donc avoir des conséquences dramatiques.
Sans surprise, les ransomwares prolifèrent dans ce secteur. Rien qu’en 2024, on compte pas moins de 181 attaques avérées ciblant des établissements de santé et touchant 25,6 millions de dossiers. Si la rançon exigée s’élève en moyenne à 5,7 millions $, les victimes qui cèdent au chantage versent en moyenne 900 000 $. En 2024, les cybercriminels exigeaient en moyenne 1,06 million $, soit un total de 23,2 millions $ pour 22 incidents.
Selon la Director of National Intelligence (DNI) des États-Unis, le nombre de ransomwares a explosé en 2023. L’agence signale ainsi une augmentation de 128 % des attaques sur le sol américain, avec 258 victimes contre 113 en 2022. Dans la même veine, le Department of Health and Human Services (HSS) étatsunien a recensé en 2023 plus de 630 attaques de ransomware ciblant le secteur de la santé dans le monde entier, dont plus de 460 à l’encontre du pays de l’Oncle Sam.
Les conséquences d’une attaque de ransomwares ne se limitent pas aux pertes financières. En perturbant les soins et en bloquant l’accès aux DPI, elles peuvent entraîner des complications chez les patients, voire des décès. Les équipes doivent annuler des tests ou des interventions et naviguent à vue, ce qui augmente le risque d’erreur. Résultat, la réputation de l’établissement en pâtit.
Pour réduire ces risques, les acteurs de la santé doivent déployer une approche multicouche de la sécurité. Au menu : sauvegardes régulières des données, formation des collaborateurs, segmentation réseau et déploiement d’outils avancés de détection et de réponse aux menaces.
Phishing – Le phishing est particulièrement virulent dans le secteur de la santé. Les cybercriminels utilisent de faux e-mails ou messages pour tromper leurs destinataires et les pousser à divulguer des informations sensibles ou à cliquer sur des liens malveillants. Compte tenu de l’urgence de leur travail et de l’avalanche d’e-mails qu’ils reçoivent au quotidien, les soignants n’ont pas toujours le temps de vérifier l’authenticité du message et tombent souvent dans le piège du phishing.
Selon l’étude « Healthcare Cybersecurity Survey » du cabinet HIMSS, 57 % des sondés citent d’ailleurs le phishing comme le principal incident auquel ils sont confrontés. En partageant leurs identifiants ou en installant à leur insu le malware dissimulé dans un e-mail frauduleux, les collaborateurs exposent sans le savoir des centaines de milliers, voire des millions de dossiers. Or, une étude Paubox fait état d’un chiffre inquiétant : seulement 5 % des attaques reconnues comme étant du phishing sont signalées aux équipes de sécurité.
La sensibilisation des collaborateurs est donc essentielle pour lutter contre ces techniques redoutables. Organisez régulièrement des formations pour apprendre à vos équipes à reconnaître les tentatives de phishing, à signaler les e-mails suspects et à appliquer les bonnes pratiques de sécurité en la matière.
Menaces internes – Ce terme englobe à la fois les divulgations accidentelles et malveillantes. Dans le premier cas, un collaborateur commet une erreur dans le traitement des données ou est victime d’une attaque de phishing, compromettant sans le vouloir la sécurité de l’établissement. Dans le second cas, un membre de l’équipe utilise sciemment ses privilèges pour voler ou corrompre des données.
Un rapport publié en 2025 par le Ponemon Institute évalue le coût annuel des menaces internes : en 2024, il s’élevait en moyenne à 17,4 millions $, contre 16,2 millions $ en 2023. Le cabinet d’étude indépendant dénombre 7 868 incidents, 23 par entreprise sondée. Parmi ces incidents, 75 % découlaient directement d’une erreur ou d’une manipulation accidentelle et 25 % d’un acte délibéré.
Même involontaire, une compromission de données expose l’établissement à des amendes réglementaires pouvant aller jusqu’à 1,5 million $ pour chaque infraction. Quant aux personnes responsables, elles encourent jusqu’à 10 ans d’emprisonnement.
Pour réduire le risque de menace interne, les acteurs de la santé doivent déployer trois mesures clés : contrôle des accès, surveillance de l’activité des utilisateurs et audits réguliers. L’authentification basée sur les rôles et le principe du moindre privilège contribuent également à sécuriser l’accès aux données. Les collaborateurs consultent uniquement les informations dont ils ont besoin, ni plus, ni moins.
Appareils médicaux vulnérables – Les établissements connectent toujours plus de dispositifs médicaux à leur réseau. Or, chacun de ces équipements peut se transformer en vecteur d’attaque. En détournant ces appareils vitaux, les cybercriminels mettent en danger la santé des patients.
Le rapport « State of Cybersecurity for Medical Devices and Healthcare Systems », publié par l’organisme Health-ISAC (Health Information Sharing and Analysis Center), fait état du risque croissant qui pèse sur les équipements médicaux, firmware et logiciels inclus. Ces risques englobent les vulnérabilités de niveau critique ou élevé impactant les appareils connectés et les applications de santé.
L’étude a passé au crible 117 fournisseurs d’appareils et applications, ainsi que leurs 966 produits, incluant les trois classes d’équipements et les infrastructures IT. Les conclusions sont sans appel :
25 vulnérabilités observées sur les appareils médicaux de classe I (risque faible)
2 vulnérabilités observées sur les appareils médicaux de classe II (risque modéré à élevé)
292 vulnérabilités observées sur les appareils de classe III (risque critique)
741 vulnérabilités observées sur les systèmes IT de santé
Pour assurer leur sécurité, les établissements doivent suivre à la lettre les recommandations de la FDA, qui imposent des mises à jour régulières, l’évaluation des vulnérabilités et l’implémentation de contrôles pour la protection des appareils connectés.
Compromissions de données de santé : un impact dévastateur
Ces compromissions exposent au grand jour des informations médicales confidentielles, avec des conséquences désastreuses : prise en charge des patients perturbée, soins retardés, équipes débordées, etc. Sur le plan financier, les établissements victimes doivent débourser des sommes astronomiques en amendes réglementaires et en frais de restauration, totalisant des millions de dollars par incident. Ainsi, une seule infraction au règlement HIPAA peut coûter à la structure jusqu’à 1,5 million $. Les personnes responsables risquent également de lourdes peines d’emprisonnement. Ce n’est pas tout. Les répercussions d’une compromission de données peuvent se faire ressentir bien après l’incident : perte de confiance de la patientèle, atteinte à l’image, manque de crédibilité…
Perturbation des soins – Les cyberattaques, en particulier les ransomwares, perturbent la prise en charge des patients, forçant les établissements victimes à reporter ou à annuler des tests ou des interventions. Résultat, les délais d’attente s’allongent et la qualité des soins est dégradée. Dans les cas les plus graves, les hôpitaux doivent renvoyer les patients vers d’autres structures et même cesser temporairement toute activité. Les conséquences sont parfois dramatiques. Les chercheurs du Health Services Research ont établi une corrélation entre les compromissions de données et le décès de patients admis pour un arrêt cardiaque. Ils ont pour cela comparé des hôpitaux ayant subi une compromission de données à d’autres qui n’ont fait face à aucune attaque. Dans ces deux groupes, ils se sont penchés sur le taux de mortalité dans les années suivant l’admission du patient. Les résultats sont sans appel : dans les 30 jours suivant une compromission, le taux de mortalité augmentait de 0,23 point de pourcentage. Ce chiffre atteignait 0,36 dans les deux ans suivant la compromission, et 0,35 trois ans après l’incident.
Atteinte à la réputation – Les compromissions de données nuisent à l’image des établissements de santé. Elles érodent la confiance et la fidélité de leurs patients qui, craignant pour la confidentialité de leurs données, préfèrent se faire soigner ailleurs. L’écho médiatique autour de l’incident peut également ternir l’attrait de l’établissement qui aura bien du mal à attirer et à fidéliser de nouveaux talents.
Risques juridiques et non-conformité – Les acteurs de la santé qui échouent à protéger les données de leurs patients s’exposent à des amendes réglementaires, à des enquêtes et à des procès intentés par les personnes lésées. En 2020, l’OCR (Office for Civil Rights), agence rattachée au HSS, a infligé un total de 13,6 millions $ d’amendes liées à des infractions au règlement HIPAA.
Coûts des compromissions – Amendes réglementaires, frais de justice, réponse à incident et restauration… les compromissions peuvent coûter très cher aux acteurs de la santé. Le rapport IBM Security "« Cost of a Data Breach » de 2024 faisait état d’un coût moyen de 9,77 millions de dollars US dans le secteur de la santé, le plus élevé de tous. Un triste record qu’il détient depuis 2011.
Les bonnes pratiques de cybersécurité
Elles se révèlent essentielles pour neutraliser les menaces sophistiquées ciblant les données de santé. Face à la prolifération des cyberattaques, les établissements doivent déployer des mécanismes de cybersécurité efficaces pour protéger la confidentialité de leurs patients : évaluation régulière des risques, contrôles d’accès renforcés, chiffrement et sauvegardes des données, protection des données dans le cloud, surveillance réseau et outils automatisés.
Évaluation régulière des risques – Elle vous permet d’identifier les vulnérabilités potentielles et celles qui doivent être traitées en priorité. Dressez l’inventaire de tous les appareils et systèmes qui stockent et traitent des données sensibles. Déterminez la probabilité et l’impact de différents scénarios d’attaque. Élaborez et implémentez des stratégies de réduction des risques. Enfin, faites intervenir les différentes parties prenantes et des experts indépendants tôt dans le processus, puis à intervalles réguliers.
Contrôles d’accès renforcés – Pour protéger vos données de santé, appliquez des contrôles d’accès robustes, notamment le modèle Zero Trust et l’authentification basée sur les rôles. Vous vous assurez ainsi que seules les personnes autorisées peuvent accéder aux informations sensibles, réduisant ainsi le risque de menace interne.
Chiffrement et sauvegardes – Chiffrez et sauvegardez régulièrement les données patients pour les mettre à l’abri des compromissions et des attaques de ransomware. Vos données doivent être chiffrées autant en transit qu’au repos pour garantir leur confidentialité et leur intégrité. Quant aux sauvegardes régulières, elles vous permettent de restaurer les données en cas d’incident.
Protection des données dans le cloud – Les solutions cloud sécurisées offrent de nombreux avantages. Elles améliorent notamment la flexibilité et la scalabilité de vos mécanismes de réponse à incident. Pour exploiter tout le potentiel de la protection cloud, déployez des fonctionnalités de sécurité avancées qui assurent un stockage et un traitement sécurisés des données.
Surveillance continue des réseaux – Cette visibilité est primordiale pour détecter et répondre rapidement aux menaces. Les solutions de surveillance réseau en temps réel vous aident à identifier les activités suspectes. Les flux CTI vous informent quant à eux des risques émergents pour anticiper les attaques. Vous pouvez ainsi élaborer un plan complet de réponse à incident pour endiguer et neutraliser les menaces.
Découverte et protection des données patients sensibles – Les outils automatisés facilitent l’identification et la protection des données sensibles. Déployez des solutions de découverte de données pour localiser les informations médicales et les données à caractère personnel dans votre environnement. Procédez ensuite à une classification rigoureuse et appliquez des contrôles de sécurité appropriés en fonction de leur niveau de sensibilité.
Renforcer les défenses : un impératif absolu
Entre lesransomwares qui paralysent leurs opérations, les attaques de phishing et les menaces internes qui exposent leurs données, les acteurs de la santé sont assaillis de toutes parts. Pour assurer la continuité des soins et maintenir la confiance de leurs patients, ils doivent redoubler de vigilance. Les bonnes pratiques de cybersécurité (chiffrement, contrôle des accès, surveillance continue, etc.) les aident à gagner en résilience face aux risques les plus tenaces.
Car la moindre compromission de données peut mettre en péril la santé des patients et la survie des établissements à l’ère du tout-connecté. Selon un rapport IBM, ces compromissions ont coûté au secteur 9,77 millions $ en moyenne par incident. Quant à l’expert en cybersécurité Sophos, il fait état d’une augmentation de 67 % du nombre de ransomware. Des chiffres alarmants qui traduisent l’urgence de la situation. Une évaluation régulière des risques et la sensibilisation des équipes peuvent aider les structures à venir à bout de ces vulnérabilités, à transformer des crises potentielles en défis surmontables et à protéger à la fois leurs finances et leur réputation.
En appliquant les bonnes pratiques de cybersécurité, les établissements de santé font bien plus qu’assurer leur conformité. Ils réaffirment leur engagement pour la protection de leurs patients et l’intégrité de leurs opérations, à court comme à long terme. Mises à jour, audits, optimisation des stratégies… la cybersécurité est un travail de longue haleine qui nécessite une vigilance constante. C’est à ce prix que vous pourrez réduire les risques et renforcer le lien de confiance avec vos patients tout en poursuivant votre mission vitale. La solution ? Investir en amont dans la technologie et l’humain pour favoriser l’essor du secteur de la santé face à l’adversité.