Skip to content
Secteurs

Cybersécurité pour le secteur de la santé : protégez vos établissements contre le phishing

Les établissements de santé français subissent une cyberattaque majeure par semaine. Les données de santé se revendent 10 fois plus cher que les données bancaires sur le dark web. Vos collaborateurs sont la première ligne de défense.

Nous avons analysé les domaines email de 3 750 entreprises de votre secteur. 63 % ont un score de sécurité email de C ou pire.

Testez votre domaine gratuitement
13 min de lecture NIS2, HDS, RGPD, PGSSI-S

Le secteur de la santé sous le feu des cyberattaques

Depuis 2019, les hôpitaux et établissements de santé français sont frappés par une vague de cyberattaques sans précédent. La chronologie des incidents parle d’elle-même :

  • CHU de Rouen (novembre 2019) : le ransomware Clop paralyse le système informatique. Retour aux dossiers papier, transferts de patients, coût estimé à plusieurs millions d’euros.
  • Centre hospitalier de Dax (février 2021) : l’ensemble des systèmes informatiques est chiffré. L’hôpital fonctionne en mode dégradé pendant plusieurs semaines. Les données de patients finissent publiées en ligne.
  • Centre hospitalier de Corbeil-Essonnes (août 2022) : LockBit 3.0 exige 10 millions de dollars de rançon. L’hôpital refuse. Les données des patients sont diffusées sur le dark web.
  • Hôpital André-Mignot de Versailles (décembre 2022) : un ransomware force l’évacuation de patients des soins intensifs vers d’autres établissements.
  • Centre hospitalier d’Armentières (février 2024) : les urgences ferment pendant plusieurs heures après une attaque par ransomware. Des données de patients sont exfiltrées.

Ces cinq attaques ne représentent qu’une fraction du problème. Notre base de données des incidents recense 16 cyberattaques majeures touchant le secteur de la santé en France. L’ANSSI signale dans son Panorama de la cybermenace 2023 que les établissements de santé restent parmi les cibles les plus fréquentes des attaquants.

Et le facteur qui rend ces attaques si lucratives : un dossier médical complet (antécédents, numéro de sécurité sociale, données bancaires) se revend entre 250 et 1 000 dollars sur le dark web — soit 10 fois plus qu’un numéro de carte bancaire. Contrairement aux données financières, un dossier médical ne peut pas être annulé ou remplacé. Les victimes subissent les conséquences pendant des années : usurpation d’identité, fraude à l’assurance, chantage.

Pour aller plus loin, consultez nos articles Cyberattaques des hôpitaux français : le bilan et Données de santé : pourquoi les hackers les veulent.

Pourquoi la santé est une cible facile

Les cybercriminels ne choisissent pas les hôpitaux par hasard. Cinq facteurs structurels rendent le secteur de la santé particulièrement vulnérable :

Des systèmes informatiques vieillissants

Beaucoup d’hôpitaux français tournent encore sur des systèmes anciens. Des postes sous Windows 7 (fin de support depuis janvier 2020), des logiciels métiers qui n’ont pas été mis à jour depuis des années, des serveurs exposés sans correctifs de sécurité. Le manque chronique de budget IT dans le secteur hospitalier public explique en partie cette dette technique. Quand le choix se pose entre acheter un scanner IRM et mettre à jour un pare-feu, la priorité va au patient — et les attaquants le savent.

Un personnel aux profils très variés

Un hôpital emploie des médecins, des infirmières, des aides-soignants, des agents administratifs, des techniciens de laboratoire, du personnel de maintenance. Chacun utilise l’informatique différemment, avec des niveaux de vigilance numérique très inégaux. Les médecins reçoivent des dizaines d’emails par jour — résultats de laboratoire, comptes-rendus, prescriptions. Distinguer un vrai email d’un phishing bien construit demande du temps qu’ils n’ont pas.

Le fonctionnement 24h/24 crée une fatigue permanente

Les équipes de nuit, les gardes de 12 heures, le stress des urgences : le personnel soignant travaille dans des conditions qui réduisent la vigilance face aux emails suspects. Un infirmier en fin de garde de nuit qui reçoit un « mot de passe expiré, cliquez ici pour le renouveler » n’a ni le temps ni l’énergie d’analyser l’email en détail.

Une chaîne de sous-traitance complexe

Un hôpital interagit avec des dizaines de prestataires : fournisseurs de matériel médical, laboratoires d’analyses, éditeurs de logiciels de gestion, sociétés de maintenance, pharmacies. Chaque fournisseur est un vecteur d’attaque potentiel. Les attaques via la supply chain exploitent cette complexité : un email semblant venir d’un fournisseur habituel passe les filtres humains bien plus facilement qu’un spam générique.

La pression de la continuité de soins

Un hôpital ne peut pas fermer ses portes pendant trois semaines pour reconstruire son SI. Cette pression opérationnelle donne un levier considérable aux attaquants : les établissements sont plus enclins à payer une rançon rapidement pour restaurer l’accès aux dossiers patients. Les groupes criminels comme LockBit ou Cl0p l’ont compris et ciblent délibérément les structures où l’urgence vitale rend le rapport de force favorable.

Ce que montrent nos données

Nous avons analysé la configuration email (SPF, DKIM, DMARC, MTA-STS) de 3 750 établissements de santé français : hôpitaux publics, cliniques privées, laboratoires, EHPAD, cabinets de groupe. Le résultat est le pire de tous les secteurs que nous suivons : 63 % obtiennent un score de C ou inférieur. Cela signifie que la majorité des établissements n’ont pas de protection email correctement configurée — leurs domaines peuvent être usurpés dans des campagnes de phishing ciblant leurs patients, partenaires ou collaborateurs.

Les attaques qui visent votre secteur

Les cybercriminels adaptent leurs techniques au quotidien des professionnels de santé. Voici les scénarios les plus fréquents :

Ransomware via phishing

C’est le scénario le plus dévastateur. Un email contenant une pièce jointe piégée (faux résultat d’analyse, faux bon de commande) ou un lien vers un site infecté. Une fois ouvert, le ransomware se propage dans le réseau et chiffre les systèmes. Les groupes Conti, LockBit et Cl0p ont tous ciblé des hôpitaux français entre 2020 et 2024, souvent avec la technique de double extorsion : chiffrement + menace de publication des données.

Vol d’identifiants sur les portails médicaux

Des emails imitant Ameli Pro, le DMP (Dossier Médical Partagé), Pro Santé Connect ou le logiciel de gestion de cabinet redirigent vers une page de connexion factice. Le professionnel de santé saisit ses identifiants, qui sont immédiatement récupérés par l’attaquant. Ce credential harvesting donne accès à des données patients sensibles et peut servir de point d’entrée pour une attaque plus large.

Fausses factures de fournisseurs médicaux

Le BEC (Business Email Compromise) adapté à la santé : un email semblant provenir d’un fournisseur habituel (distributeur de matériel médical, éditeur de logiciel, prestataire de maintenance) informe d’un changement de coordonnées bancaires. La prochaine facture est virée sur le compte des attaquants. Ces attaques ciblent les services comptabilité et achats des établissements.

Phishing ciblant les administrateurs IT

Les attaques par spear phishing visent spécifiquement les responsables informatiques des hôpitaux. Un faux email de Microsoft 365, de VMware, ou du prestataire d’infogérance demandant une action urgente (« faille critique, mettez à jour immédiatement »). L’objectif : obtenir un accès privilégié au réseau pour déployer un ransomware ou exfiltrer massivement des données.

Exfiltration de données patients

Certaines attaques ne cherchent pas à chiffrer mais à voler. Des accès compromis sont utilisés pour copier discrètement des bases de données patients sur plusieurs semaines. Les données sont ensuite revendues ou utilisées pour de l’usurpation d’identité à grande échelle. Le vol de données de 33 millions d’assurés chez Viamedis et Almerys en février 2024 illustre l’ampleur que peut prendre ce type d’attaque.

Le cadre réglementaire santé

Les établissements de santé sont soumis à un empilement de réglementations cybersécurité. Ne pas s’y conformer expose à des sanctions financières, mais aussi à une responsabilité en cas de fuite de données patients.

NIS2 : les hôpitaux classés entités essentielles

La directive NIS2, transposée en droit français, classe les établissements de santé parmi les entités essentielles. Les obligations incluent :

  • La mise en place de mesures de gestion des risques cyber (analyse de risques, gestion des incidents, continuité d’activité)
  • La sensibilisation et formation du personnel aux menaces cyber — ce qui inclut explicitement les simulations de phishing
  • La notification des incidents significatifs à l’ANSSI dans les 24 heures
  • Des audits de conformité avec sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires

Pour les établissements de santé qui doivent se mettre en conformité, consultez notre page solutions conformité.

HDS : certification pour l’hébergement de données de santé

Tout prestataire hébergeant des données de santé à caractère personnel doit disposer de la certification HDS, délivrée par un organisme accrédité par le COFRAC. Cette certification impose des exigences de sécurité (chiffrement, contrôle d’accès, journalisation, gestion des incidents) qui s’étendent aux sous-traitants. Si votre plateforme de simulation de phishing traite des adresses email de professionnels de santé, la question de l’hébergement HDS se pose.

PGSSI-S : le référentiel de l’ANS

La Politique Générale de Sécurité des Systèmes d’Information de Santé, publiée par l’Agence du Numérique en Santé (ANS), fournit un corpus de guides et de référentiels que les établissements de santé doivent suivre. Elle couvre l’authentification des professionnels (Pro Santé Connect), la gestion des habilitations, la sécurité des échanges, et la sensibilisation des utilisateurs.

RGPD : les données de santé comme catégorie spéciale

Le RGPD classe les données de santé parmi les données sensibles (article 9). Leur traitement est soumis à des conditions renforcées : consentement explicite, analyse d’impact (AIPD) obligatoire, mesures techniques et organisationnelles adaptées. La CNIL a déjà sanctionné des établissements de santé pour manquement à la sécurité : Dedalus Biologie a reçu une amende de 1,5 million d’euros après une fuite massive de données de laboratoire.

En cas de violation de données (ce qui arrive systématiquement lors d’un ransomware avec exfiltration), l’établissement doit notifier la CNIL sous 72 heures et informer individuellement les patients concernés si le risque est élevé.

Des scénarios de phishing adaptés à la santé

Les simulations de phishing génériques (faux colis, fausse loterie) ne fonctionnent pas dans le secteur de la santé. Le personnel soignant reconnaît immédiatement un email qui ne correspond pas à son quotidien. Pour que la sensibilisation soit efficace, les scénarios doivent reproduire les situations réelles auxquelles vos équipes font face.

Fausse notification Ameli Pro / DMP

Un email imitant la plateforme Ameli Pro ou le DMP informe le professionnel qu’un nouveau document patient est disponible. Le lien renvoie vers une page de connexion identique à l’originale. Ce scénario teste la vigilance sur les portails les plus utilisés au quotidien.

Fausse facture fournisseur avec changement de RIB

Un email provenant apparemment d’un fournisseur habituel de matériel médical (seringues, consommables, équipement) joint une facture PDF et mentionne un changement de coordonnées bancaires. Ce scénario cible les services achats et comptabilité, qui traitent des dizaines de factures par semaine.

Faux email du support informatique

« Votre mot de passe Microsoft 365 expire dans 24h. Cliquez ici pour le renouveler. » Ce classique du phishing reste redoutablement efficace dans les hôpitaux où les équipes IT sont réduites et où les changements de mot de passe sont fréquents. Le scénario teste la capacité du personnel à vérifier l’expéditeur avant de cliquer.

Fausse alerte du logiciel de gestion de cabinet

Pour les cliniques et cabinets : un email semblant provenir de l’éditeur du logiciel de gestion (Doctolib Pro, Weda, Crossway, MédiStory) signale une mise à jour urgente ou un problème de synchronisation. Le lien télécharge un fichier malveillant.

Faux email d’un confrère partageant un « dossier patient »

Un email semblant venir d’un médecin collègue ou d’un laboratoire partenaire partage un lien vers un supposé dossier patient ou résultat d’analyse. La pression de l’urgence médicale pousse le destinataire à ouvrir le document sans vérifier l’origine de l’email.

Chaque scénario est conçu pour être réaliste sans être piégeant : l’objectif n’est pas de tromper le personnel à tout prix, mais de lui apprendre à reconnaître les signaux d’alerte. Consultez notre page simulation de phishing pour voir comment ces campagnes s’intègrent dans un programme de sensibilisation continu.

Protéger votre établissement

Un programme de protection efficace se construit en quatre étapes progressives.

Étape 1 : auditez votre sécurité email

Avant de former vos équipes, vérifiez que votre infrastructure email ne facilite pas le travail des attaquants. Un domaine mal configuré (SPF absent, DMARC en mode « none », pas de DKIM) permet à n’importe qui d’envoyer des emails en usurpant votre identité.

Notre outil gratuit de test de sécurité email analyse votre domaine en 30 secondes et vous attribue un score de A à F. Vous saurez immédiatement si votre configuration protège ou expose votre établissement.

Étape 2 : lancez une simulation de référence

Déployez une première campagne de simulation de phishing avec des scénarios adaptés à la santé (DMP, Ameli Pro, facture fournisseur). Cette campagne de référence mesure le taux de clic réel de vos équipes — le point de départ de votre programme de sensibilisation. Sans cette mesure initiale, vous ne pouvez pas évaluer vos progrès.

Les résultats typiques d’un premier test dans la santé : 35 à 45 % de taux de clic. Un chiffre élevé, mais qui correspond à la réalité du terrain.

Étape 3 : micro-modules de formation adaptés au personnel soignant

Le personnel hospitalier ne peut pas suivre une formation de 45 minutes devant un écran. Les sessions doivent être :

  • Courtes : 3 à 5 minutes, directement après une simulation ratée (le moment où l’apprentissage est le plus efficace)
  • Contextualisées : le module explique pourquoi cet email précis était un phishing, quels indices auraient dû alerter, et comment réagir
  • Accessibles : compatibles mobile (tablette de service, smartphone personnel), sans nécessiter de connexion à un poste fixe
  • Régulières : une simulation par mois, avec des scénarios qui évoluent pour couvrir différents types de menaces (spear phishing, BEC, smishing)

En six mois de programme régulier, le taux de clic descend généralement sous les 10 %.

Étape 4 : préparez vos rapports NIS2

La directive NIS2 exige des preuves documentées de sensibilisation cyber. Chaque campagne de simulation génère des rapports détaillés : taux de clic par service, évolution dans le temps, couverture du personnel formé. Ces rapports constituent une preuve directe de conformité lors d’un audit.

Votre prochaine action : testez gratuitement la sécurité email de votre établissement. L’audit prend 30 secondes, ne nécessite aucune installation, et vous donne un diagnostic clair de votre niveau de protection. 63 % des établissements de santé que nous avons analysés ont un score de C ou pire — vérifiez le vôtre.

Questions fréquentes

Pourquoi les hôpitaux sont-ils autant ciblés par les cyberattaques ?

Les établissements de santé combinent trois facteurs qui en font des cibles de choix : des données à haute valeur marchande (dossiers médicaux, numéros de sécurité sociale), des systèmes informatiques souvent vieillissants, et une pression opérationnelle qui rend plus probable le paiement d'une rançon. Un hôpital ne peut pas se permettre d'arrêter ses activités pendant des semaines.

Quelles sont les obligations cybersécurité pour les établissements de santé ?

Les établissements de santé sont soumis à plusieurs cadres réglementaires : le RGPD pour la protection des données personnelles, la certification HDS (Hébergement de Données de Santé) pour les prestataires hébergeant des données de santé, la directive NIS2 qui classe de nombreux établissements parmi les entités essentielles, et la PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) publiée par l'ANS.

Quels sont les scénarios de phishing les plus fréquents dans la santé ?

Trois scénarios dominent : les emails imitant des plateformes médicales (DMP, Ameli Pro, logiciel de gestion de cabinet), les faux emails de fournisseurs de matériel médical avec des factures piégées, et les campagnes de ransomware qui commencent par un email de phishing ciblant un compte à privilèges (admin IT, direction).

Combien coûte une cyberattaque pour un hôpital ?

L'ANSSI estime que le coût moyen d'une cyberattaque pour un établissement de santé français dépasse 1,5 million d'euros (remédiation, perte d'activité, notification des patients). Le CHU de Rouen a estimé les pertes liées à son attaque de 2019 à plusieurs millions d'euros. Au-delà du coût financier, les conséquences incluent le report de soins et la mise en danger des patients.

Comment sensibiliser le personnel soignant au phishing ?

Le personnel soignant est sous pression constante et n'a pas le temps pour des formations longues. Les micro-modules de 3 à 5 minutes après une simulation ratée sont la méthode la plus adaptée. Les scénarios doivent reproduire le quotidien du personnel (faux email DMP, fausse alerte logiciel de gestion, faux email d'un confrère) pour être crédibles et pédagogiques.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Tous les secteurs