L'attaque ChipSoft aux Pays-Bas révèle ce que les RSSI de la santé refusent de regarder en face : la dépendance à un fournisseur unique transforme tout incident cyber en crise nationale.
Le 7 avril 2026, un seul incident cyber a déstabilisé 80% des hôpitaux des Pays-Bas. Le ransomware contre ChipSoft n'est pas un accident, c'est la conséquence prévisible d'une concentration que tout le monde voyait venir et que personne n'a voulu casser. Et la France n'a pas grand-chose à envier à ce modèle. Ce qui s'est passé à Amsterdam aurait pu se passer à Lille, Lyon ou Bordeaux. La seule variable, c'est le temps qui nous sépare du prochain incident de cette ampleur, et notre niveau de préparation collective le jour où il arrivera.
La concentration des DPI : un choix collectif, pas une fatalité
Quand un fournisseur de dossier patient informatisé équipe 80% des hôpitaux d'un pays, ce n'est pas du hasard. C'est le résultat d'une décennie d'appels d'offres convergents, de migrations qui se ressemblent, et d'une logique d'efficience où la mutualisation prime sur la résilience. Le calcul est froid : un seul éditeur, c'est une seule équipe à former, un seul jeu d'API à maintenir, un seul interlocuteur en cas de problème. Sur le papier, c'est rationnel. Dans la réalité, ça crée un point de défaillance national que la cybersécurité ne peut pas neutraliser à elle seule.
En France, la situation est plus fragmentée mais le problème reste structurellement identique : Maincare, Dedalus, Softway Medical et quelques autres se partagent l'écrasante majorité des CHU et des CH. Une attaque sur l'un d'eux ne paralyserait peut-être pas 80% du pays d'un coup, mais 30% suffit déjà à faire trembler la chaîne de soins.
La fausse promesse du SaaS santé
Le glissement vers le SaaS hospitalier — portails patients hébergés, modules cloud, intégrations Zorgplatform-like — a été vendu comme une modernisation. C'en est une, sur le plan fonctionnel. Sur le plan du risque, c'est aussi un transfert de souveraineté : l'établissement ne maîtrise plus ni la disponibilité ni la confidentialité de ses propres données critiques. ChipSoft a coupé son Zorgportaal en quelques heures pour contenir l'attaque. Les hôpitaux clients n'ont pas eu leur mot à dire.
Et là où ça pique vraiment, c'est que les contrats fournisseurs en santé n'imposent que rarement des SLA cyber sérieux : pas d'obligation de notification dans des délais courts, pas de droits d'audit sécurité, pas d'engagement sur les modes dégradés. Le client paye, le fournisseur opère, et en cas de crise, le client encaisse.
Ce que les RSSI hospitaliers doivent faire maintenant
Première chose : arrêter de considérer la dépendance fournisseur comme un sujet d'achat et la traiter comme un risque cyber de premier rang. Cartographier précisément ce qui tombe si l'éditeur tombe : DPI, portail patient, mobilité soignants, échanges interhospitaliers, prescription connectée. Pour chaque brique, écrire le mode dégradé — pas un PowerPoint, un protocole opérationnel testé en exercice.
Deuxième chose : exiger contractuellement le droit d'auditer la posture de sécurité du fournisseur. Pas un questionnaire de 200 lignes une fois par an, un vrai audit technique avec accès aux logs et aux configurations. Si le fournisseur refuse, c'est une donnée à intégrer dans le risque résiduel, et à remonter au COMEX.
Troisième chose : documenter et tester la procédure de bascule en local-only. La plupart des DPI gardent une capacité de fonctionnement isolée, mais cette bascule n'est jamais répétée en conditions réelles. Le jour J, quand il faut décider en quinze minutes d'isoler ou non l'intégration cloud, l'absence de procédure éprouvée se paye cher.
Mon avis d'expert
Le SaaS santé, tel qu'il est vendu et tel qu'il est acheté aujourd'hui, est une bombe à retardement. Pas parce que le SaaS est mauvais, mais parce qu'on l'a déployé sans poser les garde-fous contractuels et opérationnels qui vont avec. Tant qu'un RSSI hospitalier ne pourra pas répondre en cinq minutes à la question « si votre éditeur DPI tombe demain matin, vous tenez combien de temps ? », l'incident ChipSoft se reproduira ailleurs. Probablement chez nous.
Conclusion
La cybersécurité hospitalière ne se joue plus seulement dans les SOC et les pare-feu. Elle se joue dans les contrats, dans la diversification des fournisseurs, et dans la capacité à fonctionner en mode dégradé. ChipSoft est un avertissement pour toute l'Europe. La question n'est pas si l'incident se reproduira, mais où, et avec quel niveau de préparation.
Besoin d'un regard expert sur votre exposition fournisseurs ?
Discutons de votre cartographie de dépendances et de vos modes dégradés.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
MCP : la nouvelle surface d'attaque que personne ne veut voir
MCPwn n'est pas un accident isole. Le Model Context Protocol s'integre partout sans la rigueur que devrait imposer un protocole d'execution distante. Mon avis sur ce qui va se passer.
Quatre zero-days en quatre mois : 2026 redéfinit le patching
Chrome, Adobe, Fortinet, Microsoft : les zero-days s'enchaînent en 2026 à un rythme sans précédent. Analyse des tendances et recommandations concrètes pour adapter votre gestion des vulnérabilités.
Appliances réseau : le maillon faible de votre cybersécurité
Fortinet, Cisco, Citrix, Juniper : les appliances réseau accumulent les CVE critiques en 2026. Analyse d'un paradoxe — vos outils de sécurité sont devenus votre principale surface d'attaque.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire