Skip to content
Retour au blog
hôpitauxransomwarecybersécuritésantédonnées-de-santé

Cyberattaques sur les hôpitaux français : un bilan alarmant (2019-2026)

Du CHU de Rouen au CH de Cannes, chronologie complète des cyberattaques contre les hôpitaux français. Coûts, conséquences sur les patients, rôle du phishing et réponse de l'État.

Thomas Ferreira51 min de lecture

Le 15 novembre 2019, un vendredi soir à 19h45, les écrans du CHU de Rouen affichent un message en anglais : « Your files have been encrypted. » En quelques heures, les 6 000 postes informatiques de l'hôpital deviennent inutilisables. Le personnel soignant ressort les dossiers papier, les prescriptions manuscrites, les bons de commande physiques. Les urgences continuent de fonctionner, mais au ralenti. La France vient de découvrir que ses hôpitaux sont des cibles.

Depuis cette nuit de novembre, pas un semestre ne s'est écoulé sans qu'un hôpital français soit paralysé par un rançongiciel. Dax, Villefranche-sur-Saône, Corbeil-Essonnes, Versailles, Cannes... La liste est longue, et elle continue de s'allonger. En 2023, le CERT Santé (rattaché à l'Agence du Numérique en Santé) a traité 581 déclarations d'incidents dans les établissements de santé français, dont la moitié liée à des compromissions de systèmes d'information.

Cet article retrace sept ans de cyberattaques contre les hôpitaux français. Chaque incident est documenté avec ses causes, son déroulement et ses conséquences. Pas pour le spectacle de la catastrophe, mais parce que comprendre le schéma d'attaque est la condition pour s'en défendre. Et ce schéma commence presque toujours de la même manière : un email, un clic, un identifiant volé.

Pourquoi les hôpitaux sont devenus les cibles préférées des rançonneurs

Il faut tordre le cou à une idée reçue : les hôpitaux ne sont pas victimes « par hasard ». Les groupes de rançongiciels les ciblent délibérément, et pour des raisons très rationnelles.

La pression vitale comme moyen de pression. Un hôpital ne peut pas « fermer le temps de résoudre le problème ». Les urgences continuent d'arriver, les patients sous respirateur ont besoin de monitoring, les chimiothérapies ne se reportent pas d'une semaine. Cette urgence permanente crée une pression que les attaquants exploitent : l'hôpital sera tenté de payer pour rétablir ses systèmes le plus vite possible. Même si, en pratique, très peu d'hôpitaux français ont payé.

Des systèmes informatiques vieillissants. L'Association Pour la Sécurité des Systèmes d'Information de Santé (APSSIS) estimait en 2022 que le budget informatique moyen d'un hôpital français représentait 1,7 % de son budget de fonctionnement, contre 4 à 9 % dans les secteurs banque-assurance ou industrie. Résultat : des serveurs sous Windows Server 2008, des postes sous Windows 7 en 2023, des équipements biomédicaux avec des systèmes d'exploitation datant de dix ans, impossibles à mettre à jour sans casser la certification du dispositif médical.

La valeur marchande des données de santé. Un dossier médical complet (nom, prénom, numéro de sécurité sociale, pathologies, traitements, analyses) se revend entre 100 et 250 euros sur les marchés du dark web, selon les estimations du Ponemon Institute. C'est 50 fois plus qu'un numéro de carte bancaire (5 euros en moyenne), parce qu'un dossier médical permet l'usurpation d'identité à long terme et la fraude à l'assurance.

Un réseau étendu et mal segmenté. Un hôpital, c'est des milliers de postes de travail, des centaines d'applications métier, des équipements biomédicaux connectés, du Wi-Fi patient, des accès prestataires. Et souvent, tout est sur le même réseau à plat. Quand un attaquant prend pied sur un poste via un phishing, il peut se déplacer latéralement sans rencontrer de barrière.

Le faible niveau de sensibilisation du personnel. Le personnel soignant est formé à sauver des vies. La cybersécurité est rarement dans le cursus infirmier ou médical. Un agent d'accueil, une secrétaire médicale, un interne qui ouvre une pièce jointe piégée, c'est le scénario type. Selon le rapport Proofpoint State of the Phish 2025, un employé sur trois clique sur un lien de phishing sans formation préalable. Dans un hôpital de 3 000 agents, cela fait 1 000 points d'entrée potentiels. Pour une analyse détaillée des statistiques de phishing en entreprise, voir notre article sur le phishing en entreprise : statistiques 2026.

La chronologie des attaques : sept ans de rançongiciels hospitaliers

Ramsay Santé - Août 2019 : 120 cliniques privées touchées d'un coup

Le 10 août 2019, le groupe Ramsay Générale de Santé (devenu Ramsay Santé) subit une attaque qui paralyse le système informatique de 120 de ses 126 établissements en France. La souche utilisée est une variante de GandCrab/REvil. L'impact est considérable : les logiciels de gestion des admissions, les dossiers patients informatisés et les systèmes de messagerie sont hors service pendant plusieurs jours.

Ramsay étant un groupe privé coté en bourse, la communication est restée minimale. Mais le signal est clair : si le premier groupe d'hospitalisation privée en France peut être mis à terre, aucun établissement n'est à l'abri. L'attaque a touché des hôpitaux en France, en Suède, en Norvège et en Italie. Le retour à la normale a pris plusieurs semaines, avec un basculement généralisé vers des procédures papier pendant la phase de crise.

Ce qui frappe rétrospectivement, c'est que l'attaque Ramsay n'a quasiment pas fait réagir le secteur public hospitalier. Il faudra attendre trois mois pour que le CHU de Rouen fasse prendre conscience de la menace.

CHU de Rouen - Novembre 2019 : le premier choc

Date : 15 novembre 2019, 19h45.

L'attaque : Le rançongiciel Clop chiffre les données de 6 000 postes de travail et de la majorité des serveurs. L'hôpital bascule intégralement en mode dégradé. Les prescriptions médicales repassent au papier, les résultats de laboratoire sont transmis à la main, les rendez-vous de consultation sont gérés avec des classeurs.

L'impact opérationnel : Le CHU n'a pas interrompu les urgences, mais l'activité programmée a été fortement ralentie. Les délais de prise en charge se sont allongés. Les médecins devaient se déplacer physiquement pour récupérer des résultats d'analyses. Le retour à une informatique fonctionnelle a pris plusieurs semaines.

Le coût : L'ANSSI a mobilisé une équipe de réponse à incident dès le samedi matin. Le CHU a estimé le coût total de l'incident à plus de 10 millions d'euros, incluant la reconstruction du système d'information, le remplacement de matériel, les heures supplémentaires et la perte d'activité.

Le vecteur d'entrée : L'analyse post-incident a révélé que l'attaque avait commencé par un email de phishing ouvert par un agent de l'hôpital. Le logiciel malveillant Emotet avait d'abord été installé, servant ensuite de tête de pont pour le déploiement du rançongiciel Clop par le groupe TA505.

Le CHU de Rouen est devenu le cas d'école cité dans tous les rapports ANSSI sur la menace hospitalière. C'est aussi l'incident qui a déclenché la création du volet santé dans la stratégie nationale de cybersécurité.

Hôpital de Dax - Février 2021 : des mois de reconstruction

Date : 8 février 2021.

L'attaque : L'hôpital de Dax-Côte d'Argent (640 lits, 2 200 agents) est frappé par un rançongiciel dans la nuit. L'intégralité du système informatique est paralysée : messagerie, téléphonie, serveurs de fichiers, dossier patient informatisé, système de gestion des admissions.

L'impact opérationnel : C'est probablement l'attaque qui a le plus marqué les esprits parce que la désorganisation a été totale et prolongée. Les urgences sont restées ouvertes, mais toutes les interventions chirurgicales programmées ont été reportées. Les rendez-vous de chimiothérapie ont été maintenus en mode dégradé. Le standard téléphonique étant hors service, l'hôpital a dû communiquer via les réseaux sociaux pour prévenir les patients.

Les soignants ont témoigné de conditions de travail extrêmes : écrire chaque prescription à la main, retrouver les antécédents médicaux dans des archives papier, appeler les laboratoires par téléphone portable personnel pour obtenir des résultats d'analyse. Plusieurs transferts de patients vers d'autres établissements ont été organisés.

La durée : Le système informatique n'a été pleinement rétabli qu'après plusieurs mois. Certaines applications métier n'ont été restaurées qu'au bout de six mois. C'est le temps nécessaire pour reconstruire une infrastructure complète à partir de zéro quand les sauvegardes elles-mêmes ont été compromises.

Le coût : Estimé à au moins 2 millions d'euros pour la seule reconstruction technique, sans compter la perte d'activité et les heures supplémentaires du personnel.

Hôpital de Villefranche-sur-Saône - Février 2021 : Ryuk entre en scène

Date : 15 février 2021, une semaine après Dax.

L'attaque : Le centre hospitalier de Villefranche-sur-Saône (Nord-Ouest de Lyon, 2 500 agents) est touché par le rançongiciel Ryuk. L'hôpital active immédiatement son plan blanc (plan de gestion de crise sanitaire) et coupe l'ensemble de ses systèmes informatiques pour contenir la propagation.

L'impact opérationnel : Toute l'activité chirurgicale programmée est reportée. Les urgences sont redirigées vers les hôpitaux de Lyon et de Bourg-en-Bresse. Le personnel repasse aux dossiers papier. Le directeur de l'hôpital déclare à la presse : « On revient 30 ans en arrière. »

Le vecteur : Comme souvent avec Ryuk, la chaîne d'infection part d'un email contenant un document Word piégé (macro malveillante). Le malware TrickBot est déployé en premier, puis ouvre la voie au déploiement de Ryuk.

La coïncidence temporelle avec l'attaque de Dax (une semaine d'intervalle) a provoqué une prise de conscience nationale. Le président Emmanuel Macron annonce le 18 février 2021 un plan de 1 milliard d'euros pour la cybersécurité, dont une part dédiée au secteur de la santé.

Hôpital d'Oloron-Sainte-Marie - Mars 2021 : le Béarn aussi

Date : 8 mars 2021.

L'attaque : Le centre hospitalier d'Oloron-Sainte-Marie (Pyrénées-Atlantiques, 300 lits) est à son tour victime d'un rançongiciel. Le système informatique est chiffré, y compris une partie des sauvegardes.

L'impact : Les chirurgies programmées sont reportées. L'hôpital fonctionne en mode dégradé pendant plusieurs semaines. L'attaque survient un mois après Dax et Villefranche, ce qui accentue le sentiment d'une campagne coordonnée contre le secteur hospitalier français - même si les analyses ultérieures montrent qu'il s'agit de groupes distincts qui ciblent simultanément des proies faciles.

Le contexte : L'hôpital d'Oloron est un petit établissement de proximité avec un budget IT limité. Il n'avait ni RSSI à temps plein, ni segmentation réseau, ni plan de réponse à incident formalisé. Le profil type de la cible opportuniste.

Hôpital d'Arles - Août 2021 : Vice Society fait son entrée

Date : 18 août 2021.

L'attaque : Le centre hospitalier Joseph-Imbert d'Arles est frappé par le groupe Vice Society, un collectif russophone spécialisé dans le ciblage des établissements de santé et d'éducation. Le système informatique est intégralement compromis.

L'impact opérationnel : L'hôpital perd l'accès à son dossier patient informatisé, à son système de gestion des lits, à la messagerie et à la téléphonie IP. Les équipes reviennent au papier et au tableau blanc pour la gestion des admissions. Les consultations spécialisées non urgentes sont reportées.

Le vol de données : Vice Society pratique la double extorsion : chiffrement des données et exfiltration avant le chiffrement. Le groupe menace de publier les données volées si la rançon n'est pas payée. L'hôpital d'Arles refuse de payer. Des données sont publiées sur le site du groupe.

La durée de reconstruction : Plus de quatre mois pour un retour à la normale informatique.

Ce qui rend le cas d'Arles notable, c'est la spécialisation de Vice Society dans le secteur de la santé. Ce n'est pas un ciblage opportuniste : le groupe a délibérément choisi un hôpital, sachant que les données médicales et la pression opérationnelle maximisent ses chances de paiement.

AP-HP - Septembre 2021 : 1,4 million de données patients volées

Date : Septembre 2021.

L'attaque : L'Assistance Publique – Hôpitaux de Paris (AP-HP), plus grand centre hospitalier universitaire d'Europe, révèle le vol de données de 1,4 million de patients ayant effectué un test Covid-19 en Île-de-France mi-2020. Les données comprennent noms, prénoms, dates de naissance, numéros de sécurité sociale et résultats de tests.

Le vecteur : La compromission a exploité une faille dans un outil de partage de fichiers (système de transfert sécurisé) utilisé pour transmettre les résultats de tests aux organismes d'assurance maladie. Ce n'est pas un rançongiciel classique mais un vol de données ciblé.

Les conséquences : L'AP-HP a déposé plainte et notifié la CNIL. La fuite a provoqué une onde de choc politique, car elle concernait des données Covid, sujet hautement sensible en 2021. Deux personnes ont été interpellées.

La portée : Avec 1,4 million de dossiers, c'est la plus grande fuite de données de santé connue en France à cette date. Elle a mis en lumière la fragilité des systèmes de transfert de données médicales, souvent développés dans l'urgence pendant la crise Covid.

CHSF Corbeil-Essonnes - Août 2022 : l'attaque la plus médiatisée

Date : 21 août 2022, 1h du matin.

L'attaque : Le Centre Hospitalier Sud Francilien de Corbeil-Essonnes (1 000 lits, 3 700 agents, bassin de 600 000 habitants) est frappé par le groupe LockBit 3.0. La demande de rançon : 10 millions de dollars.

L'impact opérationnel : L'hôpital coupe l'ensemble de ses systèmes informatiques. Les urgences sont redirigées vers les hôpitaux de Créteil, de Paris et d'Évry. Les interventions chirurgicales programmées sont reportées. L'activité de l'hôpital chute de 20 % environ pendant les semaines qui suivent l'attaque. Le retour aux dossiers papier désorganise profondément la chaîne de soins.

Le directeur du CHSF, Gilles Calmes, déclare publiquement : « On ne paiera pas. » C'est la position recommandée par l'ANSSI et par l'État français, qui considère que le paiement de rançons finance le crime organisé et incite à de nouvelles attaques.

La publication des données : LockBit met sa menace à exécution. En septembre 2022, le groupe publie 11 gigaoctets de données sur son site du dark web : comptes-rendus d'hospitalisations, analyses de laboratoire, dossiers médicaux, numéros de sécurité sociale. La publication provoque une onde de choc médiatique et politique.

Le coût : Le CHSF a estimé le coût de la reconstruction de son système d'information à environ 7 millions d'euros. Ce montant n'inclut pas la perte d'activité, les transferts de patients et les heures supplémentaires du personnel.

Le procès : En février 2024, la justice française a condamné un affilié du groupe LockBit dans le cadre de cette affaire, une première symbolique mais qui ne change rien à l'ampleur de la menace.

L'attaque du CHSF est un tournant. C'est la première fois que le grand public français réalise concrètement ce que signifie une cyberattaque sur un hôpital : des ambulances redirigées, des opérations annulées, des données médicales intimes publiées sur Internet. Le ministre de la Santé François Braun s'est rendu sur place. Le sujet est devenu politique.

CH de Versailles - Décembre 2022 : une fin d'année noire

Date : 3 décembre 2022.

L'attaque : Le centre hospitalier de Versailles André-Mignot est victime d'un rançongiciel qui chiffre 700 postes de travail et une partie des serveurs. L'hôpital active son plan blanc et bascule en mode dégradé.

L'impact opérationnel : Six patients du service de réanimation et de néonatalogie sont transférés vers d'autres établissements. Les chirurgies programmées sont reportées. Le standard téléphonique est coupé. Le directeur de l'ARS Île-de-France déclare que la cyberattaque « a mis en tension l'ensemble de l'offre hospitalière du département des Yvelines ».

Le vecteur d'entrée : L'enquête a révélé que l'attaque a exploité des identifiants compromis, vraisemblablement obtenus par phishing ciblant un personnel ayant des droits d'administration.

La réponse : L'ANSSI a déployé une équipe de réponse rapide. Le CH de Versailles a mis en place un numéro de téléphone d'urgence pour les patients et les familles. La reconstruction complète a pris plusieurs mois.

Deux attaques majeures en quatre mois (Corbeil en août, Versailles en décembre) : la fin de l'année 2022 marque le point bas de la sécurité informatique hospitalière en France.

Hôpital d'Ajaccio - Mars 2023 : la Corse n'est pas épargnée

Date : Mars 2023.

L'attaque : Le centre hospitalier d'Ajaccio est victime d'une cyberattaque qui perturbe son système d'information. Les détails techniques précis n'ont pas été rendus publics, mais l'hôpital a confirmé une interruption de ses systèmes informatiques ayant nécessité un basculement en mode dégradé.

L'impact : Perturbation de l'accès au dossier patient informatisé, gestion des rendez-vous en mode papier, retards dans la prise en charge des patients non urgents. L'insularité de la Corse complique la situation : les possibilités de transfert de patients sont géographiquement limitées.

Le contexte : L'attaque illustre un phénomène préoccupant : les établissements de taille moyenne en dehors des grandes métropoles sont particulièrement vulnérables. Ils ont moins de ressources IT, moins d'accès aux experts en cybersécurité, et un isolement géographique qui aggrave les conséquences d'une perte de service.

CHU de Rennes - Juin 2023 : un grand CHU touché

Date : 21 juin 2023.

L'attaque : Le CHU de Rennes, l'un des plus grands hôpitaux de l'Ouest français (10 000 agents, 1 800 lits), détecte une intrusion dans son système d'information. L'hôpital coupe immédiatement l'accès à Internet et isole les systèmes compromis, ce qui permet de limiter la propagation du rançongiciel.

L'impact opérationnel : Grâce à une détection relativement rapide, le CHU a évité le chiffrement massif de ses données. L'activité de soins a été maintenue, mais la coupure d'Internet a perturbé les communications avec les correspondants extérieurs, les prestataires et les systèmes de transmission de résultats de laboratoire.

Le vol de données : Malgré le confinement rapide, les attaquants ont eu le temps d'exfiltrer des données. Le CHU a confirmé la fuite de données administratives et potentiellement de données patients, sans préciser le volume exact.

La réponse : Le CHU de Rennes disposait d'un RSSI et d'une équipe sécurité qui ont réagi dans les minutes suivant la détection. C'est cette réactivité qui a limité les dégâts. L'ANSSI est intervenue en appui.

Le cas du CHU de Rennes montre qu'un bon niveau de préparation peut faire la différence entre une perturbation de quelques jours et une paralysie de plusieurs mois. La détection rapide et la capacité à isoler les systèmes sont les deux facteurs qui séparent un incident grave d'une catastrophe.

Hôpital de Cannes Simone Veil - Avril 2024 : LockBit frappe encore

Date : 16 avril 2024.

L'attaque : L'hôpital Simone Veil de Cannes (800 lits, 2 200 agents) est victime du groupe LockBit. L'attaque intervient moins de deux mois après le démantèlement (partiel) de l'infrastructure LockBit par une opération internationale de police (Operation Cronos, février 2024). Preuve que le groupe a reconstitué ses capacités très rapidement.

L'impact opérationnel : L'hôpital coupe ses systèmes et bascule en mode dégradé. Les interventions chirurgicales non urgentes sont reportées. L'activité de consultation est réduite. Le personnel soignant revient, une fois de plus, aux prescriptions manuscrites et aux dossiers papier.

La publication des données : LockBit revendique l'attaque et publie en mai 2024 61 gigaoctets de données volées à l'hôpital : données administratives, dossiers RH, données patients. C'est le plus gros volume de données hospitalières publiées à cette date.

Le contexte : L'attaque de Cannes est la démonstration que les opérations de police, aussi spectaculaires soient-elles, ne suffisent pas à éradiquer la menace. LockBit a été perturbé mais pas détruit. Ses affiliés se sont dispersés vers d'autres plateformes de ransomware-as-a-service. Le modèle économique criminel reste intact.

La mécanique d'une attaque hospitalière : anatomie type

Après avoir documenté chaque incident individuellement, il est utile de dégager le schéma commun. Car la réalité, c'est que ces attaques se ressemblent de manière frappante.

Phase 1 : l'accès initial (J-30 à J-7). Dans la majorité des cas documentés, l'attaquant obtient un premier accès via un email de phishing. Un agent hospitalier reçoit un email imitant un fournisseur, un organisme officiel ou un collègue. Il clique sur un lien ou ouvre une pièce jointe. Un malware (Emotet, TrickBot, BazarLoader selon les cas) s'installe silencieusement sur le poste. Parfois, le vecteur d'entrée est un accès RDP (Remote Desktop Protocol) exposé sur Internet avec un mot de passe faible, ou un VPN non mis à jour.

Phase 2 : la reconnaissance (J-7 à J-1). L'attaquant cartographie le réseau de l'hôpital. Il identifie les serveurs Active Directory, les partages de fichiers, les systèmes de sauvegarde. Il élève ses privilèges en exploitant des failles non corrigées ou en récupérant des identifiants d'administrateurs stockés en clair. L'absence de segmentation réseau lui permet de se déplacer librement.

Phase 3 : l'exfiltration (J-3 à J-1). Avant de chiffrer quoi que ce soit, l'attaquant copie les données les plus sensibles vers des serveurs externes. Dossiers patients, données RH, documents comptables. Ces données serviront de moyen de pression supplémentaire (double extorsion).

Phase 4 : le chiffrement (Jour J). L'attaquant déploie le rançongiciel sur l'ensemble des systèmes accessibles, souvent le vendredi soir ou le week-end pour maximiser le temps de propagation avant détection. Les fichiers sont chiffrés, les sauvegardes locales sont détruites si elles sont accessibles depuis le réseau.

Phase 5 : l'extorsion (J+1 à J+30). Un message de rançon s'affiche. Le groupe publie un compte à rebours sur son site. Si l'hôpital refuse de payer (ce qui est systématiquement le cas en France), les données sont publiées.

Ce schéma se retrouve dans la quasi-totalité des incidents décrits dans cet article. Et dans presque tous les cas, la porte d'entrée est un email.

Le phishing : porte d'entrée de 60 % des attaques hospitalières

Les chiffres de l'ANSSI sont sans ambiguïté : le phishing et le spear phishing constituent le premier vecteur d'accès initial dans les cyberattaques contre les établissements de santé. Le CERT Santé confirme cette proportion dans son bilan annuel.

Pourquoi le phishing fonctionne aussi bien en milieu hospitalier ?

La fatigue du personnel soignant. Un infirmier qui enchaîne les gardes de 12 heures, un médecin qui voit 40 patients par jour, un secrétaire médical qui traite 200 emails quotidiens - la vigilance numérique n'est pas leur priorité. Et on ne peut pas leur en vouloir. C'est aux organisations de mettre en place les protections techniques et la sensibilisation adaptée.

Le volume d'emails légitimes contenant des pièces jointes. Dans un hôpital, il est normal de recevoir des comptes-rendus médicaux, des résultats d'analyses, des bons de commande, des factures. Un email de phishing imitant un résultat de laboratoire ou une commande de matériel s'insère parfaitement dans le flux quotidien.

L'absence de double authentification (MFA). En 2022, la majorité des hôpitaux français n'avaient pas déployé la double authentification sur leurs systèmes de messagerie ni sur leurs accès VPN. Un identifiant et un mot de passe suffisaient. Quand le phishing récupère ces identifiants, l'attaquant entre par la grande porte.

Des noms de domaine non protégés. Beaucoup d'hôpitaux n'ont pas configuré correctement leurs enregistrements SPF, DKIM et DMARC, ce qui facilite l'usurpation de leur identité email. Un attaquant peut envoyer un email qui semble provenir de « dr.martin@chu-exemple.fr » sans que les systèmes de messagerie ne le bloquent. Tester la configuration email de votre organisation prend quelques secondes et peut révéler des failles béantes. Pour comprendre l'importance de ces protocoles, consultez notre article sur la sécurité email des PME : tester SPF, DKIM et DMARC.

L'utilisation de comptes légitimes compromis. Certaines attaques, comme celle de Viamedis (qui a indirectement touché des millions de dossiers de santé), ont utilisé des comptes de professionnels de santé compromis par phishing pour accéder aux systèmes. L'email frauduleux ne venait pas d'un inconnu, mais d'un médecin dont le compte avait été pris.

Le coût financier : des millions d'euros par incident

Quantifier le coût d'une cyberattaque hospitalière est un exercice difficile parce que beaucoup de postes de dépense sont indirects ou différés. Mais les chiffres disponibles donnent un ordre de grandeur.

ÉtablissementCoût estiméDétail
CHU de Rouen (2019)10 M€+Reconstruction SI, matériel, heures supplémentaires, perte d'activité
Hôpital de Dax (2021)2 M€+Reconstruction technique seule
CHSF Corbeil-Essonnes (2022)7 M€Reconstruction du SI (hors perte d'activité)
CH de Versailles (2022)Non communiquéTransferts patients, reconstruction, mode dégradé prolongé

Ces coûts directs ne racontent qu'une partie de l'histoire. Il faut y ajouter :

La perte d'activité. Un hôpital qui fonctionne en mode dégradé perd 15 à 30 % de son activité pendant la crise. Pour un établissement qui génère 200 millions d'euros de recettes annuelles, deux mois de fonctionnement à 80 % représentent une perte de 6 à 10 millions d'euros.

Les surcoûts de personnel. Chaque procédure qui se faisait en un clic informatique prend désormais 10 minutes en version papier. Les soignants font des heures supplémentaires massives. Les personnels administratifs sont réaffectés à des tâches manuelles.

Les transferts de patients. Quand les urgences sont redirigées vers d'autres hôpitaux, ceux-ci supportent un surcoût. Les ambulances font des trajets plus longs. Les délais de prise en charge s'allongent, avec des conséquences potentielles sur la santé des patients.

Le coût de la remédiation sécurité. Après l'incident, l'hôpital investit massivement dans la sécurité : nouveau firewall, segmentation réseau, EDR (Endpoint Detection and Response), MFA, recrutement d'un RSSI. Ces investissements auraient coûté une fraction du coût de l'attaque s'ils avaient été faits avant.

Les amendes potentielles. La CNIL peut sanctionner un manquement à la protection des données personnelles. En cas de fuite de données de santé (catégorie particulière au sens du RGPD), les sanctions peuvent être lourdes. Aucun hôpital n'a encore été sanctionné lourdement, mais la CNIL a publiquement rappelé ses attentes.

Pour une analyse détaillée des coûts d'une cyberattaque sur une structure plus petite, voir notre article : Combien coûte une cyberattaque pour une PME de 50 personnes.

Le coût humain : des patients mis en danger

On parle beaucoup de millions d'euros. On parle moins des patients. Et pourtant, c'est là que la gravité des cyberattaques hospitalières est la plus concrète.

Des opérations chirurgicales reportées. À Villefranche, Corbeil, Versailles, Cannes : dans chaque cas, des dizaines, parfois des centaines d'interventions chirurgicales programmées ont été reportées. Un report de chirurgie, ce n'est pas un simple désagrément logistique. Pour un patient atteint d'un cancer qui attend une ablation tumorale, chaque semaine de retard peut changer le pronostic.

Des transferts de patients à risque. Au CH de Versailles, six patients de réanimation et de néonatalogie ont été transférés en urgence. Transférer un nouveau-né en soins intensifs est une opération à risque en soi. Le transfert ne se fait que parce que l'alternative - rester dans un hôpital sans système informatique fonctionnel - est pire.

Des résultats d'analyses indisponibles. Quand le système informatique est hors service, les résultats de laboratoire ne sont plus transmis automatiquement. Le médecin qui attend un taux de potassium pour ajuster un traitement cardiaque doit appeler le laboratoire, attendre qu'un technicien retrouve le résultat sur un système de secours, le noter à la main. Le délai passe de 30 secondes à 30 minutes. Et dans certains cas, ce délai compte.

Des erreurs de prescription. La prescription manuscrite comporte des risques : écriture illisible, erreur de dosage, absence de vérification automatique des interactions médicamenteuses. Les systèmes de prescription informatisée existent précisément pour éviter ces erreurs. Quand ils sont hors service, le risque d'erreur médicamenteuse augmente mécaniquement.

Des patients privés de confidentialité médicale. Quand LockBit publie 11 Go de données du CHSF ou 61 Go de données de Cannes, ce sont des milliers de patients dont le dossier médical - pathologies, traitements, analyses - est accessible à n'importe qui. L'atteinte à la vie privée est irréversible. Un dossier médical publié ne peut pas être « dépublié ».

En Allemagne, un cas a fait jurisprudence : en septembre 2020, une patiente est décédée à l'hôpital universitaire de Düsseldorf après avoir été redirigée vers un autre établissement à cause d'une cyberattaque. Les enquêteurs n'ont finalement pas pu établir un lien de causalité direct entre le décès et l'attaque. Mais le risque est réel, documenté, et pris au sérieux par les autorités sanitaires.

En France, aucun décès n'a été officiellement attribué à une cyberattaque hospitalière. Mais les témoignages des soignants dans les semaines qui suivent les attaques de Dax, Corbeil et Versailles décrivent des conditions de travail qui augmentent objectivement le risque pour les patients.

Tableau de synthèse des attaques majeures (2019-2024)

DateÉtablissementRansomware / GroupeImpact principalRançon demandée
Août 2019Ramsay Santé (120 cliniques)GandCrab/REvilSI paralysé, retour papierNon communiquée
Nov. 2019CHU de RouenClop (TA505)6 000 postes chiffrésNon communiquée
Fév. 2021Hôpital de DaxNon identifié publiquementSI paralysé pendant des moisNon communiquée
Fév. 2021Villefranche-sur-SaôneRyukPlan blanc activé, urgences redirigéesNon communiquée
Mars 2021Oloron-Sainte-MarieNon identifié publiquementChirurgies reportéesNon communiquée
Août 2021Hôpital d'ArlesVice SocietyDouble extorsion, données publiéesNon communiquée
Sept. 2021AP-HPVol de données ciblé1,4M dossiers patients volésN/A
Août 2022CHSF Corbeil-EssonnesLockBit 3.011 Go de données publiées10 M$
Déc. 2022CH de VersaillesNon identifié publiquement700 postes chiffrés, 6 patients transférésNon communiquée
Mars 2023Hôpital d'AjaccioNon identifié publiquementMode dégradé prolongéNon communiquée
Juin 2023CHU de RennesNon identifié publiquementCoupure Internet, fuite de donnéesNon communiquée
Avr. 2024Cannes Simone VeilLockBit61 Go de données publiéesNon communiquée

Ce tableau montre une réalité glaçante : entre 2019 et 2024, au moins une attaque majeure par semestre. Et ce ne sont que les incidents qui ont fait l'objet d'une communication publique. Le CERT Santé traite des dizaines d'incidents supplémentaires chaque année qui n'arrivent jamais dans les médias.

Les groupes criminels qui visent la santé française

Plusieurs groupes de rançongiciels sont responsables des attaques documentées ci-dessus. Les identifier permet de comprendre le modèle économique et les méthodes.

LockBit est le groupe le plus actif contre le secteur de la santé français. Responsable des attaques du CHSF Corbeil-Essonnes et de l'hôpital de Cannes, LockBit fonctionne sur un modèle de ransomware-as-a-service (RaaS) : le groupe développe et maintient le logiciel, puis des « affiliés » indépendants mènent les attaques en échange d'une commission (généralement 20 à 30 % de la rançon). Ce modèle décentralisé explique pourquoi l'opération Cronos de février 2024, qui a démantelé une partie de l'infrastructure de LockBit, n'a pas mis fin aux attaques.

Vice Society s'est fait une spécialité du ciblage des secteurs de la santé et de l'éducation, en France et dans le monde anglo-saxon. Le groupe est responsable de l'attaque de l'hôpital d'Arles. Vice Society privilégie les cibles qui combinent données sensibles et faible maturité en cybersécurité.

Clop (TA505) a frappé le CHU de Rouen en 2019. Le groupe est actif depuis 2016 et a une préférence pour les grandes organisations. Son mode opératoire inclut l'utilisation d'Emotet comme malware de première phase.

Ryuk (associé au groupe Wizard Spider) est responsable de l'attaque de Villefranche-sur-Saône. Ryuk utilisait TrickBot comme vecteur d'accès initial et ciblait spécifiquement les organisations capables de payer des rançons élevées. Le groupe a cessé ses activités sous le nom Ryuk en 2021, mais ses membres ont probablement migré vers d'autres groupes, dont Conti.

Le point commun de tous ces groupes : ils opèrent depuis la Russie ou des pays de la CEI (Communauté des États indépendants) et bénéficient d'une tolérance de facto des autorités locales, tant qu'ils ne ciblent pas d'organisations russes.

La réponse de l'État : du constat à l'action

Face à l'accélération des attaques, les pouvoirs publics ont progressivement renforcé leur réponse. Récapitulons les principales mesures.

2021 : le plan cyber post-Dax et Villefranche

Le 18 février 2021, dans la foulée des attaques de Dax et Villefranche, Emmanuel Macron annonce un plan national pour la cybersécurité doté de 1 milliard d'euros, dont 720 millions de financements publics. Le plan prévoit un volet spécifique pour le secteur de la santé :

  • Renforcement de l'ANSSI avec la création de postes dédiés au suivi du secteur de la santé.
  • Généralisation des audits de sécurité dans les établissements de santé.
  • Intégration de la cybersécurité dans les critères de certification des hôpitaux par la Haute Autorité de Santé (HAS).
  • Obligation pour les établissements de santé de consacrer une part minimale de leur budget IT à la sécurité.

2022 : les hôpitaux deviennent des OSE

Fin 2022, le ministère de la Santé désigne 135 hôpitaux comme Opérateurs de Services Essentiels (OSE) au sens de la directive européenne NIS. Cette désignation impose des obligations spécifiques en matière de cybersécurité : déclaration des incidents, audits réguliers, mise en conformité technique. L'ANSSI devient l'autorité de supervision pour ces établissements.

2023 : le programme CaRE

En décembre 2023, le gouvernement lance le programme CaRE (Cybersécurité accélération et Résilience des Établissements), doté de 750 millions d'euros sur 5 ans (2023-2028). C'est le programme le plus ambitieux jamais consacré à la cybersécurité hospitalière en France.

Le programme CaRE est structuré autour de quatre axes :

  1. Gouvernance et résilience. Chaque établissement doit nommer un référent cybersécurité et formaliser un plan de continuité d'activité intégrant le risque cyber. Les ARS (Agences Régionales de Santé) sont chargées de coordonner les audits.

  2. Ressources et mutualisation. Financement de RSSI mutualisés pour les petits établissements qui ne peuvent pas recruter individuellement. Création de centres de ressources régionaux.

  3. Sensibilisation et formation. Programmes de formation obligatoires pour l'ensemble du personnel hospitalier (pas seulement les informaticiens). Exercices de crise cyber annuels.

  4. Sécurité opérationnelle. Financement de la mise à niveau technique : segmentation réseau, MFA, EDR, sauvegardes déconnectées, supervision 24/7.

L'objectif affiché : que 100 % des établissements de santé atteignent un niveau de sécurité minimal d'ici 2028. Un objectif ambitieux, quand on mesure le retard accumulé.

2024-2026 : NIS2 et la montée en puissance

La transposition de la directive européenne NIS2 en droit français (effective depuis octobre 2024, avec une période de mise en conformité) élargit considérablement le périmètre des entités régulées dans le secteur de la santé. Les laboratoires d'analyses, les fabricants de dispositifs médicaux, les éditeurs de logiciels de santé sont désormais concernés.

Les premières évaluations du programme CaRE, publiées début 2026, montrent des progrès inégaux : les grands CHU ont significativement renforcé leur posture de sécurité, mais les petits hôpitaux de proximité restent en retard, faute de personnel qualifié.

Le budget IT hospitalier : le noeud du problème

Tous les plans gouvernementaux, aussi bien dotés soient-ils, se heurtent à la même réalité : l'informatique hospitalière a été sous-financée pendant des décennies.

1,7 % du budget de fonctionnement : c'est l'estimation de l'APSSIS pour la part du budget IT dans un hôpital français moyen en 2022. À titre de comparaison, le secteur bancaire consacre entre 7 et 9 % de ses charges d'exploitation à l'IT, et la recommandation de l'ANSSI pour les organisations traitant des données sensibles est de 5 à 10 %.

Concrètement, un hôpital de 500 lits avec un budget de fonctionnement de 200 millions d'euros consacre environ 3,4 millions d'euros à son informatique. Sur ces 3,4 millions, la maintenance courante (licences, support, matériel) absorbe 80 %. Il reste 680 000 euros pour les projets, la sécurité, la modernisation. Pour un établissement qui gère 3 000 postes de travail, 500 serveurs et 1 500 équipements biomédicaux connectés, c'est dérisoire.

Le programme CaRE apporte des financements supplémentaires, mais avec une contrainte : les fonds sont fléchés sur la sécurité et ne peuvent pas servir à combler le retard global de l'informatique hospitalière. Or la sécurité ne peut pas être traitée indépendamment du reste : mettre un firewall dernier cri devant un réseau non segmenté avec des serveurs sous Windows 2008, c'est poser un verrou sur une porte ouverte.

Le vrai changement viendra quand le budget IT hospitalier passera de 1,7 % à au moins 3-4 % du budget de fonctionnement, avec une sanctuarisation d'un tiers pour la sécurité. C'est l'objectif implicite du programme CaRE, mais la trajectoire sera longue.

La dette technique hospitalière : un héritage lourd

Le sous-financement chronique a créé une dette technique considérable que les attaquants exploitent méthodiquement.

Des systèmes d'exploitation obsolètes. En 2023, le CERT Santé a constaté que de nombreux postes de travail hospitaliers fonctionnaient encore sous Windows 7 (fin de support en janvier 2020) ou Windows 8.1 (fin de support en janvier 2023). Certains équipements biomédicaux (scanners, IRM, moniteurs de surveillance) embarquent des systèmes encore plus anciens (Windows XP, Windows Embedded) qui ne reçoivent plus aucun correctif de sécurité.

Des applications métier non maintenues. Le dossier patient informatisé (DPI), la gestion administrative des patients (GAP), la prescription informatisée - ces applications critiques sont souvent développées par des éditeurs de taille modeste, avec des cycles de mise à jour lents et une surface d'attaque rarement auditée.

L'absence de segmentation réseau. Dans beaucoup d'hôpitaux, le réseau est « à plat » : un même VLAN pour l'administration, les soins, les équipements biomédicaux et le Wi-Fi visiteur. Quand un attaquant compromet un poste d'accueil, il accède potentiellement à l'IRM et au serveur Active Directory.

Des sauvegardes connectées au réseau. L'erreur la plus coûteuse : les sauvegardes sont stockées sur des serveurs accessibles depuis le réseau principal. Quand le rançongiciel frappe, il chiffre aussi les sauvegardes. L'hôpital de Dax l'a appris de la manière la plus douloureuse : la reconstruction a pris des mois précisément parce que les sauvegardes étaient compromises.

Des accès distants non sécurisés. De nombreux hôpitaux exposent des services RDP (Remote Desktop Protocol) sur Internet pour permettre aux prestataires de maintenance d'accéder aux systèmes. Sans MFA, sans VPN correctement configuré, ces accès sont des portes ouvertes pour les attaquants qui scannent systématiquement Internet à la recherche de services RDP accessibles.

Ce que les hôpitaux peuvent faire maintenant : mesures prioritaires

La liste des recommandations de l'ANSSI pour les établissements de santé est longue. Mais certaines mesures ont un impact disproportionné par rapport à leur coût.

1. Déployer la double authentification (MFA) sur tous les accès. C'est la mesure numéro un. Si France Travail avait eu le MFA, les 43 millions de dossiers ne seraient pas dans la nature. Si les hôpitaux avaient systématiquement le MFA sur leurs messageries et accès VPN, la majorité des attaques par phishing s'arrêteraient à la porte. Le MFA n'est pas infaillible, mais il bloque plus de 99 % des attaques par identifiants volés, selon les données de Microsoft.

2. Segmenter le réseau. Séparer physiquement ou logiquement le réseau administratif, le réseau de soins, les équipements biomédicaux et le réseau invité. Quand un poste est compromis, la propagation s'arrête à la frontière du segment.

3. Déconnecter les sauvegardes du réseau. Adopter la règle 3-2-1 : trois copies des données, sur deux supports différents, dont une hors ligne (air-gapped). C'est ce qui fait la différence entre une reconstruction de quelques jours et une reconstruction de plusieurs mois.

4. Sensibiliser le personnel au phishing. Pas un PowerPoint annuel de 30 minutes. Des simulations de phishing régulières, mensuelles, adaptées au contexte hospitalier (emails imitant des fournisseurs de matériel médical, des résultats de laboratoire, des convocations RH). Le taux de clic sur les simulations de phishing passe de 33 % à moins de 5 % après six mois de programme structuré (Proofpoint State of the Phish 2025).

5. Protéger les noms de domaine email. Configurer SPF, DKIM et DMARC pour empêcher l'usurpation de l'identité email de l'hôpital. Un attaquant qui ne peut pas envoyer d'email en tant que « accueil@hopital-exemple.fr » perd un vecteur d'attaque majeur.

6. Installer un EDR (Endpoint Detection and Response) sur tous les postes. L'antivirus traditionnel ne suffit plus. Un EDR détecte les comportements suspects (mouvement latéral, élévation de privilèges, chiffrement massif de fichiers) et peut bloquer un rançongiciel dans les secondes qui suivent son déclenchement.

7. Tester le plan de continuité d'activité. Avoir un plan ne sert à rien s'il n'est pas testé. Chaque année, l'hôpital devrait simuler une coupure complète de l'informatique pendant 4 heures et vérifier que les procédures dégradées fonctionnent réellement.

La sensibilisation du personnel hospitalier : un chantier sous-estimé

La sensibilisation est souvent le parent pauvre de la cybersécurité hospitalière. On investit dans les firewalls, les EDR, la segmentation réseau, mais on laisse le maillon humain sans formation.

Les chiffres sont pourtant parlants. Le rapport KnowBe4 Phishing by Industry 2024 classe le secteur de la santé parmi les plus vulnérables au phishing, avec un taux de clic initial de 34,2 % pour les organisations de plus de 1 000 employés. Après 12 mois de programme de simulation, ce taux descend à 4,6 %.

Le problème spécifique aux hôpitaux : le turnover et la diversité des profils. Un CHU de 10 000 agents emploie des médecins, des infirmiers, des aides-soignants, des secrétaires médicales, des techniciens de laboratoire, des agents de service, des cadres administratifs. Chacun a un niveau de familiarité avec l'informatique différent. Et les remplacements, les intérimaires, les internes qui changent de service tous les six mois compliquent la couverture de formation.

Un programme de sensibilisation hospitalier efficace doit :

  • Être continu, pas ponctuel. Des simulations de phishing mensuelles, pas une formation annuelle.
  • Être contextualisé. Les emails de simulation doivent ressembler à ce que le personnel reçoit réellement : résultats de laboratoire, bons de commande, convocations à la médecine du travail.
  • Ne pas être punitif. L'objectif est l'apprentissage, pas la sanction. Un agent qui clique reçoit immédiatement une explication, pas un blâme.
  • Couvrir tous les services, y compris les services qui se considèrent « non concernés » (logistique, cuisine, blanchisserie) et qui ont pourtant accès au réseau.

La question des données de santé : une protection renforcée par le RGPD

Les données de santé bénéficient d'une protection renforcée en droit européen. L'article 9 du RGPD les classe dans les « catégories particulières de données personnelles », dont le traitement est en principe interdit sauf dans des cas limitativement énumérés (soins de santé, intérêt public, etc.).

Cette qualification a des conséquences pratiques en cas de cyberattaque :

Obligation de notification à la CNIL sous 72 heures. Dès qu'un hôpital constate une violation de données personnelles (y compris par chiffrement, qui rend les données indisponibles), il doit notifier la CNIL. Si la violation présente un risque élevé pour les personnes concernées (ce qui est systématiquement le cas avec des données médicales), l'hôpital doit également notifier individuellement les patients.

Des sanctions potentiellement aggravées. Le traitement de données de santé sans mesures de sécurité adéquates peut être sanctionné par la CNIL au titre de l'article 32 du RGPD (obligation de sécurité) et de l'article 9 (protection des catégories particulières). Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires.

La responsabilité du DPO. Le Délégué à la Protection des Données de l'hôpital a l'obligation d'alerter la direction sur les risques pesant sur les données personnelles. Dans la pratique, beaucoup de DPO hospitaliers sont des juristes sans compétence technique en cybersécurité, ce qui limite leur capacité à identifier et à prioriser les risques.

Le rôle du Hébergeur de Données de Santé (HDS). Les données de santé stockées par un prestataire externe doivent l'être chez un hébergeur certifié HDS. Cette certification, délivrée par des organismes accrédités par le COFRAC, impose des exigences de sécurité physique et logique. Mais quand les données sont dans le système d'information interne de l'hôpital, la certification HDS ne s'applique pas - et la sécurité repose entièrement sur l'hôpital.

Comparaison internationale : la France fait-elle moins bien ?

Les hôpitaux français ne sont pas les seuls touchés. Le phénomène est mondial, et la comparaison permet de relativiser - ou pas - la situation hexagonale.

Allemagne. L'hôpital universitaire de Düsseldorf a subi une attaque en septembre 2020 qui a conduit au décès d'une patiente redirigée vers un autre établissement. Le gouvernement fédéral a renforcé les obligations de cybersécurité pour les hôpitaux via la loi IT-Sicherheitsgesetz 2.0.

Royaume-Uni. L'attaque WannaCry de mai 2017 a paralysé le National Health Service (NHS), affectant 80 des 236 trusts hospitaliers et entraînant l'annulation de 19 000 rendez-vous. L'attaque a coûté au NHS environ 92 millions de livres sterling. Depuis, le Royaume-Uni a massivement investi dans la cybersécurité hospitalière, avec un programme NHSX dédié.

États-Unis. Le Department of Health and Human Services (HHS) a recensé 725 violations de données de santé touchant plus de 500 personnes en 2023. Le groupe Change Healthcare a été victime d'une attaque en février 2024 qui a perturbé le traitement des prescriptions de pharmacie pour des millions d'Américains. La rançon payée aurait atteint 22 millions de dollars.

Irlande. Le Health Service Executive (HSE) irlandais a subi une attaque Conti en mai 2021 qui a paralysé le système de santé national pendant des semaines. Le coût a été estimé à 80 millions d'euros.

La France se situe dans la moyenne des pays européens en termes de nombre d'attaques, mais accuse un retard sur le budget IT hospitalier par rapport au Royaume-Uni (post-WannaCry) et à l'Allemagne.

Les leçons tirées - et celles qui restent à tirer

Sept ans après le CHU de Rouen, qu'a-t-on appris ?

Ce qui s'est amélioré :

  • La prise de conscience politique est réelle. Le programme CaRE, doté de 750 M€, est le signe que l'État considère la cybersécurité hospitalière comme une priorité de santé publique.
  • L'ANSSI a développé une expertise spécifique sur le secteur de la santé et peut mobiliser des équipes de réponse rapide.
  • Les grands CHU ont renforcé leurs équipes de sécurité. Le CHU de Rennes a montré en 2023 qu'une détection rapide peut limiter significativement les dégâts.
  • La classification de 135 hôpitaux comme OSE impose un cadre réglementaire contraignant avec des audits réguliers.
  • L'obligation NIS2 élargit le périmètre de protection à toute la chaîne de valeur de la santé.

Ce qui reste insuffisant :

  • Les petits hôpitaux de proximité n'ont toujours pas les moyens humains et financiers de mettre en oeuvre les recommandations. Un RSSI mutualisé pour cinq hôpitaux, c'est mieux que rien, mais c'est insuffisant face à des attaquants professionnels.
  • Le budget IT moyen reste trop faible. 1,7 % du budget de fonctionnement, même avec les subventions CaRE, ne permet pas de rattraper 20 ans de sous-investissement en cinq ans.
  • La sensibilisation du personnel reste lacunaire dans beaucoup d'établissements. Le programme CaRE prévoit des formations, mais leur déploiement effectif à 100 % du personnel prendra des années.
  • La dette technique (Windows 7, applications non maintenues, réseau non segmenté) ne disparaît pas en installant un EDR. Il faut remplacer des milliers de postes, migrer des dizaines d'applications métier, recâbler des réseaux entiers.
  • Le modèle économique du rançongiciel n'a pas été brisé. Tant que des organisations dans le monde paient des rançons, les groupes criminels continueront d'investir dans le développement de nouveaux outils et le ciblage de nouvelles victimes.

L'avenir : quelles menaces à l'horizon 2027-2028 ?

Le rançongiciel restera la menace dominante pour les hôpitaux français dans les années qui viennent. Mais d'autres risques émergent.

L'IA au service des attaquants. Les emails de phishing générés par IA sont déjà plus convaincants que ceux rédigés par des humains non natifs. Dans un hôpital, un email de phishing IA imitant parfaitement le style d'un collègue interne ou d'un fournisseur régulier sera quasiment indétectable par le seul jugement humain. La combinaison détection technique + sensibilisation devient incontournable.

Les attaques sur les équipements biomédicaux connectés. L'Internet des objets médical (IoMT) se développe : pompes à perfusion connectées, moniteurs de surveillance reliés au réseau, dispositifs d'imagerie pilotés à distance. Chaque équipement connecté est un point d'entrée potentiel, et la plupart ne reçoivent pas de mises à jour de sécurité régulières.

Les attaques via la chaîne d'approvisionnement. L'attaque Viamedis-Almerys a montré que les prestataires de services de santé sont des cibles de choix pour atteindre indirectement des millions de patients. Les éditeurs de logiciels hospitaliers, les fournisseurs de maintenance, les opérateurs de tiers payant : toute la chaîne est exposée.

L'espionnage étatique. Les données de santé de populations entières intéressent aussi les services de renseignement étrangers. L'exploitation de dossiers médicaux pour du chantage, du profilage ou de la recherche pharmaceutique est un risque réel, même s'il est moins médiatisé que le rançongiciel.

Ce que les PME prestataires de santé doivent retenir

Si vous êtes une PME qui travaille avec le secteur de la santé - éditeur de logiciel, intégrateur, fournisseur de matériel médical, prestataire de maintenance - cet article vous concerne directement.

La directive NIS2 étend les obligations de cybersécurité aux prestataires des entités régulées. Si votre client hospitalier est classé OSE, il va vous demander des preuves de votre propre maturité en cybersécurité : politique de sécurité formalisée, MFA déployé, personnel formé, tests d'intrusion réalisés, assurance cyber souscrite.

Trois actions concrètes :

  1. Testez la sécurité de votre domaine email. Si un attaquant peut envoyer un email en se faisant passer pour votre entreprise, il peut cibler vos clients hospitaliers depuis « votre » adresse. Vérifiez votre configuration SPF, DKIM et DMARC en quelques secondes.

  2. Formez vos collaborateurs au phishing. Votre équipe de support technique qui a accès VPN au réseau de l'hôpital est un vecteur d'attaque. Un compte compromis chez vous, c'est une porte ouverte chez votre client. Les simulations de phishing réduisent le taux de clic de 33 % à moins de 5 %.

  3. Documentez vos mesures de sécurité. Les hôpitaux vont de plus en plus exiger des réponses à des questionnaires de sécurité. Avoir un programme de sensibilisation auditable, des logs de formation, des résultats de simulation - c'est ce qui fait la différence entre un prestataire retenu et un prestataire écarté.

FAQ : Cyberattaques sur les hôpitaux français

Pourquoi les hôpitaux français sont-ils autant ciblés par les cyberattaques ?

Les hôpitaux cumulent quatre caractéristiques qui en font des cibles de choix : une obligation de fonctionner en continu qui augmente la pression pour restaurer les systèmes rapidement, des systèmes informatiques souvent obsolètes (budget IT à 1,7 % du budget de fonctionnement contre 4 à 9 % dans le secteur bancaire selon l'APSSIS), des données de santé qui se revendent jusqu'à 250 euros le dossier sur le dark web (Ponemon Institute), et des réseaux mal segmentés qui permettent une propagation rapide des rançongiciels une fois le premier poste compromis.

Combien de cyberattaques ont frappé les hôpitaux français depuis 2019 ?

Le CERT Santé a traité 581 déclarations d'incidents dans les établissements de santé en 2023. L'ANSSI a comptabilisé au moins 40 incidents de sécurité visant des établissements de santé en 2022. Entre 2019 et 2026, plus d'une trentaine d'attaques majeures ont été documentées publiquement, avec un rythme d'au moins une attaque médiatisée par semestre. Le nombre réel est probablement supérieur, car beaucoup d'incidents ne font pas l'objet de communication publique.

Le phishing est-il vraiment le principal vecteur d'attaque contre les hôpitaux ?

Oui, dans environ 60 % des cas documentés par l'ANSSI et le CERT Santé. Le schéma est récurrent : un agent hospitalier clique sur un lien dans un email frauduleux, un malware (Emotet, TrickBot) s'installe, l'attaquant se déplace dans le réseau, puis déploie le rançongiciel. L'absence de double authentification et de segmentation réseau facilite la propagation. Les autres vecteurs d'entrée incluent les accès RDP exposés et les failles dans les VPN non mis à jour.

Quel est le coût d'une cyberattaque sur un hôpital français ?

Les estimations varient entre 2 et 20 millions d'euros selon la taille de l'établissement. Le CHU de Rouen a estimé l'impact à plus de 10 millions d'euros. Le CHSF de Corbeil-Essonnes a chiffré la reconstruction de son SI à 7 millions d'euros. Ces montants n'incluent pas les coûts indirects : perte d'activité (15 à 30 % pendant la crise), surcoûts de personnel, transferts de patients, et atteinte à la confidentialité médicale des données publiées.

Que fait le gouvernement pour protéger les hôpitaux ?

Le programme CaRE, lancé en décembre 2023, est doté de 750 millions d'euros sur 5 ans. Il impose des audits de sécurité, finance la mise à niveau technique, et conditionne une partie du financement hospitalier à des objectifs de cybersécurité mesurables. Par ailleurs, 135 hôpitaux ont été classés comme Opérateurs de Services Essentiels (OSE) avec des obligations renforcées. La directive NIS2, transposée en 2024, étend ces obligations à l'ensemble de la chaîne de valeur de la santé.

Les données de santé volées sont-elles publiées sur Internet ?

Oui, dans plusieurs cas. LockBit a publié 11 Go de données du CHSF Corbeil-Essonnes en septembre 2022 et 61 Go de données de l'hôpital de Cannes en mai 2024. Vice Society a publié des données de l'hôpital d'Arles. Ces publications incluent des comptes-rendus médicaux, des analyses de laboratoire et des numéros de sécurité sociale. C'est la conséquence du refus de payer la rançon - refus recommandé par l'ANSSI et Cybermalveillance.gouv.fr, car le paiement ne garantit pas la suppression des données et finance le crime organisé.

Thomas Ferreira est consultant en cybersécurité certifié CISSP. Il accompagne les entreprises françaises dans la protection contre les menaces par ingénierie sociale. Les données de cet article proviennent des rapports ANSSI, CERT Santé, CNIL, Proofpoint State of the Phish 2025, IBM Cost of a Data Breach 2025, et des communications officielles des établissements touchés.

Articles similaires

Cegedim Santé : 15 millions de dossiers patients dans la nature, anatomie d'une catastrophe

Fin 2025, une cyberattaque contre le logiciel MLM de Cegedim Santé a exposé les données de 15 millions de patients français, dont 164 000 dossiers contenant des informations sensibles. Chronologie, responsabilités, conséquences concrètes et leçons à tirer.

Données de santé : pourquoi c'est la cible n°1 des hackers en France

Un dossier médical vaut jusqu'à 1 000 $ sur le dark web, contre 5 $ pour une carte bancaire. Analyse complète des cyberattaques contre le secteur santé en France : Viamedis, AP-HP, CHSF Corbeil-Essonnes, réglementation HDS, programme CaRE et mesures concrètes de protection.

Le coût réel du ransomware en France : chiffres, témoignages et réalité terrain

Analyse complète du coût d'une attaque par ransomware en France : coûts directs, opérationnels, juridiques, réputationnels et cachés. Cas Manutan, Sopra Steria, Saint-Gobain, CHSF, Lise Charmel, Clestra.