En l'espace de quelques jours en avril 2026, deux incidents majeurs ont frappé le secteur de la santé sur deux continents : un ransomware a paralysé ChipSoft, fournisseur de dossiers médicaux pour 70 % des hôpitaux néerlandais, tandis qu'une cyberattaque a forcé un hôpital du Massachusetts à détourner ses ambulances et annuler des chimiothérapies. Ces événements ne sont pas des cas isolés. Ils confirment une réalité que les professionnels de la cybersécurité observent depuis des années et qui atteint aujourd'hui un point critique : le secteur de la santé est devenu la cible la plus rentable et la plus vulnérable pour les cybercriminels. La question n'est plus de savoir si un établissement sera attaqué, mais quand — et surtout, s'il sera prêt à encaisser le choc. Derrière les chiffres et les alertes du CERT se cache une réalité terrain beaucoup plus brutale que ce que les rapports officiels laissent transparaître. Je constate au quotidien dans mes missions que le fossé entre la menace réelle et la maturité cyber du secteur hospitalier ne cesse de se creuser, malgré les investissements annoncés et les réglementations nouvelles.

Un secteur structurellement vulnérable

Le secteur de la santé cumule tous les facteurs aggravants en matière de cybersécurité. Les systèmes d'information hospitaliers sont des écosystèmes complexes où cohabitent des applications métier critiques, des équipements biomédicaux connectés dont certains tournent encore sous Windows XP, des accès distants pour les praticiens libéraux, et des flux de données sensibles avec les laboratoires, les pharmacies et les organismes payeurs. Cette complexité rend la segmentation réseau extrêmement difficile à implémenter sans perturber les soins.

Le budget IT des hôpitaux reste structurellement sous-dimensionné. En France, la plupart des établissements consacrent entre 1 et 2 % de leur budget à l'informatique, là où les recommandations de l'ANSSI préconisent au minimum 5 à 10 % pour un niveau de sécurité acceptable. Le plan France Relance a injecté des fonds, mais ils sont souvent absorbés par la dette technique accumulée plutôt que par des investissements de sécurité proactifs. Sur le terrain, je vois encore des établissements où le RSSI est un administrateur système qui fait double emploi, sans formation spécialisée ni budget dédié. La réalité est que beaucoup d'hôpitaux français sont dans un état de vulnérabilité comparable à celui des cibles récentes aux Pays-Bas et aux États-Unis.

La pression opérationnelle, meilleure alliée des attaquants

Ce qui rend la santé si attractive pour les groupes de ransomware, c'est la pression opérationnelle. Un hôpital ne peut pas se permettre d'être hors service pendant des semaines comme une entreprise classique. Quand les systèmes de prescription tombent, quand les dossiers patients deviennent inaccessibles, quand les pompes à perfusion perdent leur connectivité avec le serveur central, ce sont des vies qui sont en jeu. Cette urgence vitale pousse historiquement les établissements à payer les rançons plus rapidement et plus souvent que dans d'autres secteurs.

Les groupes de ransomware l'ont parfaitement intégré dans leur modèle économique. Ils savent qu'un hôpital qui détourne ses ambulances subit une pression médiatique et réglementaire immédiate qui accélère la décision de paiement. Le double extorsion — chiffrement plus menace de publication des données patients — est particulièrement efficace dans le secteur de la santé, où les données ont une valeur émotionnelle et légale considérable. Selon le Health ISAC, le niveau d'activité malveillante ciblant le secteur hospitalier n'a jamais été aussi élevé qu'en ce début d'année 2026.

Le risque systémique de la concentration

L'incident ChipSoft révèle un risque souvent sous-estimé : la concentration des fournisseurs de solutions critiques. Quand un seul éditeur gère les dossiers médicaux de 70 % des hôpitaux d'un pays, sa compromission devient un événement systémique. En France, la situation est comparable avec quelques éditeurs dominant le marché des DME hospitaliers. Ce phénomène de concentration se retrouve dans d'autres secteurs critiques et a déjà été exploité dans des attaques supply chain visant les éditeurs de logiciels.

La directive NIS2, entrée en application, impose aux entités essentielles — dont les établissements de santé — des obligations renforcées en matière de gestion des risques liés aux fournisseurs. Mais entre le texte réglementaire et la réalité opérationnelle, le chemin est long. Combien d'hôpitaux ont réellement cartographié leurs dépendances critiques et testé des scénarios de défaillance de leur fournisseur principal de DME ? Dans mon expérience, très peu. Et pourtant, c'est exactement le scénario qui vient de se produire aux Pays-Bas avec ChipSoft.

Ce qui doit changer, maintenant

Le constat est sévère, mais les solutions existent. Premièrement, les exercices de crise cyber doivent devenir aussi systématiques que les exercices incendie dans les hôpitaux. Pas des simulations PowerPoint, mais des exercices réels en conditions dégradées, avec basculement sur procédures papier et test de la chaîne de communication d'urgence. Deuxièmement, la segmentation réseau doit être traitée comme un chantier prioritaire, même si elle est complexe en environnement hospitalier. Les équipements biomédicaux critiques doivent être isolés du reste du SI. Troisièmement, chaque établissement doit disposer d'un plan de réponse à incident testé et actualisé, incluant des contacts CERT pré-établis et des contrats de réponse à incident activables en moins de 4 heures.

Mon avis d'expert

Je suis convaincu que le secteur de la santé ne sortira de cette spirale qu'en changeant fondamentalement son rapport à la cybersécurité. Il ne s'agit plus d'un poste de coût IT, mais d'une composante de la sécurité des patients au même titre que l'hygiène ou la pharmacovigilance. Les directeurs d'hôpitaux qui traitent encore la cyber comme un sujet technique délégué à l'informatique prennent un risque personnel et pénal croissant avec NIS2. La bonne nouvelle : les établissements qui investissent correctement et qui testent leurs procédures s'en sortent infiniment mieux que les autres quand l'attaque arrive. Car elle arrivera.

Conclusion

Les incidents ChipSoft et Signature Healthcare ne sont que les derniers épisodes d'une série qui ne fera que s'intensifier. Le secteur de la santé doit passer d'une posture réactive — subir et reconstruire — à une posture proactive : anticiper, segmenter, tester, et surtout, investir à la hauteur de l'enjeu. Les patients ne peuvent pas attendre que leur hôpital comprenne la cybersécurité après avoir été attaqué. La conformité réglementaire est un minimum, pas un objectif. La résilience réelle se construit dans les exercices, pas dans les documents de politique. Si votre établissement n'a pas testé son plan de continuité d'activité cette année, considérez qu'il n'en a pas.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact