En quelques jours d'avril 2026, deux incidents ont frappé le secteur de la santé sur deux continents avec une brutalité qui ne laisse aucun espace au déni. Un ransomware a paralysé ChipSoft, le fournisseur de dossiers médicaux électroniques de 70 % des hôpitaux néerlandais, plongeant simultanément des dizaines d'établissements dans le chaos opérationnel. Simultanément, une cyberattaque a forcé un hôpital du Massachusetts à dérouter ses ambulances et annuler plusieurs séances de chimiothérapies — des décisions médicales prises sous contrainte informatique, avec des conséquences potentiellement létales pour des patients. Ces deux incidents ne sont pas des accidents : ils confirment une tendance de fond qui atteint en 2026 un point critique. Le secteur de la santé est devenu la cible la plus rentable, la plus vulnérable, et la plus impactante pour les groupes de ransomware et de cyber-extorsion. Selon Verizon DBIR 2026, ce secteur a subi 3 fois plus d'attaques ransomware en 2025 qu'en 2023. Le Health ISAC rapporte que le niveau d'activité malveillante ciblant les hôpitaux n'a jamais été aussi élevé qu'au premier trimestre 2026. La question n'est plus "si" votre établissement sera attaqué. C'est "quand" et "si vous serez prêt à encaisser le choc sans paralyser les soins".

CYBERSÉCURITÉ GÉNÉRALE La santé, cible parfaite des cybercriminels en 2026 ÉTAPES / CONTRÔLES 1 Un secteur structurellement vulnérable … 2 Analyse technique : l'économie de la cible… 3 Le risque systémique de la concentration sur… 4 Implications pratiques : ce qui doit… 5 Recommandations actionnables : plan en six… EXIGENCES CLÉS Des systèmes d'information d'une… Un sous-investissement budgétaire… Condition 1 : Des données à valeur… Condition 2 : Une pression de… Condition 3 : Une surface d'attaque ayinedjimi-consultants.fr

Un secteur structurellement vulnérable : données et réalité terrain

Le secteur de la santé cumule une combinaison unique de facteurs aggravants en cybersécurité. Pour comprendre pourquoi les hôpitaux sont devenus des cibles prioritaires, il faut analyser ces facteurs sans euphémismes.

Des systèmes d'information d'une complexité exceptionnelle. Un SI hospitalier typique fait cohabiter des logiciels métier critiques (DMP, DME, PACS imagerie médicale, pharmacie hospitalière, laboratoire), des équipements biomédicaux connectés (moniteurs cardiaques, pompes à perfusion, ventilateurs, IRM, scanners) dont beaucoup fonctionnent sur des systèmes d'exploitation en fin de support (Windows XP, Windows 7, versions firmware non mises à jour), des accès distants pour des praticiens libéraux, et des échanges de données avec des laboratoires, pharmacies, CPAM et systèmes régionaux ou nationaux. Cette hétérogénéité rend la segmentation réseau extrêmement difficile sans perturber les soins — et l'absence de segmentation est le facteur de propagation principal des ransomwares hospitaliers. Quand un ransomware touche le réseau d'un hôpital non segmenté, il chiffre indifféremment les serveurs applicatifs, les postes administratifs et les équipements biomédicaux dans un même mouvement latéral.

Un sous-investissement budgétaire chronique. En France, la plupart des établissements consacrent entre 1 et 2 % de leur budget à l'informatique, dont une fraction seulement à la cybersécurité. L'ANSSI recommande un minimum de 5 à 10 % du budget IT pour atteindre un niveau de sécurité opérationnel. Le plan France Relance a injecté 350 millions d'euros dans la cybersécurité hospitalière entre 2021 et 2023 — largement absorbés par la dette technique accumulée (remplacement de matériel obsolète, migrations legacy) plutôt que par des investissements proactifs (détection comportementale, tests de pénétration, formation). Sur le terrain en 2026, je vois encore des établissements où le "RSSI" est un administrateur système sans formation spécialisée ni budget dédié, dont le mandat réel est d'entretenir l'infrastructure plutôt que de la sécuriser.

L'ANSSI (Rapport sur la menace cyber dans le secteur santé 2025) recense 48 incidents cyber ciblant des établissements de santé français en 2025, contre 27 en 2023 — une augmentation de 78 % en deux ans. Sur ces 48 incidents, 31 impliquaient un ransomware avec chiffrement effectif. Le délai moyen de retour à la normale post-incident : 23 jours. Pendant ces 23 jours, des établissements fonctionnent en mode dégradé, avec des procédures papier, des retards de diagnostic, et des risques pour les patients.

Analyse technique : l'économie de la cible santé

Les groupes de ransomware sont des acteurs économiques rationnels. La santé réunit trois conditions qui maximisent leur retour sur investissement de façon unique.

Condition 1 : Des données à valeur maximale. Un dossier médical complet se vend entre 250 et 1 000 dollars sur les marchés underground (Recorded Future 2026), contre 0,5 à 5 dollars pour un numéro de carte bancaire. Cette prime s'explique par la permanence des données médicales (votre groupe sanguin ne change pas, contrairement à votre numéro de carte), leur valeur pour l'extorsion directe des patients, leur utilité pour la fraude à l'assurance maladie, et leur sensibilité émotionnelle extrême. La double extorsion — chiffrement + menace de publication des données patients — est particulièrement efficace en santé : les données sont protégées par le secret médical, dont la violation expose l'établissement à des sanctions CNIL potentiellement très lourdes et à une atteinte irréversible à la relation de confiance avec les patients.

Condition 2 : Une pression de continuité sans équivalent. Aucun secteur ne subit une pression comparable. Quand un hôpital perd l'accès à son DME, aux résultats de laboratoire et aux prescriptions informatisées, ce ne sont pas des processus business qui s'arrêtent — ce sont des soins qui se dégradent. Des erreurs médicales peuvent survenir. Les groupes ransomware ont parfaitement intégré cette réalité dans leur modèle tarifaire : ils savent que la pression de reprise est maximale, que les dirigeants d'hôpitaux n'ont pas la latitude d'attendre plusieurs semaines pour restaurer, et que les tutelles exercent elles-mêmes une pression vers la reprise rapide. Le taux de paiement dans le secteur santé est 2,3 fois plus élevé que dans le secteur financier (Health ISAC 2026).

Condition 3 : Une surface d'attaque étendue et mal surveillée. Les équipements biomédicaux connectés constituent un angle mort critique. Un scan réseau hospitalier typique révèle des dizaines d'équipements avec des firmwares obsolètes, des credentials administratifs par défaut jamais modifiés, et des communications non chiffrées. Ces équipements ne peuvent pas accueillir d'agents EDR, ne peuvent pas être patchés facilement (nécessitent validation constructeur et parfois recertification CE), et sont souvent connectés au réseau principal sans segmentation. Ils constituent des points de pivot naturels pour le mouvement latéral post-exploitation initiale.

L'accès initial dans les incidents hospitaliers suit des vecteurs documentés et répétitifs. Selon CERT-FR (bulletin sectoriel santé 2025) : VPN sans MFA ou avec MFA SMS contournable (34 % des incidents), phishing ciblé sur les fonctions administratives (28 %), exploitation de vulnérabilités sur des équipements réseau non patchés (22 %), compromission de prestataires tiers avec accès au SI hospitalier (12 %). Ces vecteurs sont tous connus, documentés, et pour la plupart adressables avec des mesures standards.

Le risque systémique de la concentration sur quelques fournisseurs

L'incident ChipSoft révèle une dimension souvent sous-estimée : le risque systémique lié à la concentration du marché des éditeurs de solutions de santé. Quand un seul éditeur gère les DME de 70 % des hôpitaux d'un pays, sa compromission devient un événement d'ampleur nationale — pas un incident de sécurité ordinaire.

En France, la situation est comparable, quoique moins concentrée. Quelques éditeurs dominent le marché des SIH hospitaliers (Softway Medical, Dedalus, McKesson, Computer Science Corporation). Une compromission de l'un d'entre eux aurait un impact sur des dizaines à des centaines d'établissements simultanément. La directive NIS2 impose aux entités essentielles — dont les établissements de santé depuis sa transposition — des obligations renforcées en matière de gestion des risques liés aux fournisseurs. Mais entre le texte réglementaire et la réalité opérationnelle, le chemin est long.

Combien d'hôpitaux français ont réellement cartographié leurs dépendances critiques vis-à-vis de leurs éditeurs ? Combien ont testé des scénarios de défaillance de leur fournisseur principal de SIH — que ce soit une panne technique ou une compromission cyber ? Dans mon expérience, une minorité. Et pourtant, c'est exactement le scénario qui vient de se produire aux Pays-Bas avec ChipSoft. La prochaine version française de cet incident aura lieu. La question est de savoir si vos équipes auront des procédures papier prêtes et testées pour prendre en charge les patients en mode dégradé.

Implications pratiques : ce qui doit changer, maintenant

La réalité est sévère. La bonne nouvelle : les solutions existent, elles sont documentées, et elles ne nécessitent pas des budgets hors de portée des établissements de taille moyenne. Ce qui manque, c'est la priorisation et la volonté managériale — pas la technique.

Première priorité : MFA sur tous les accès distants, sans exception. L'absence de MFA ou l'usage exclusif du MFA SMS (contournable via SIM swapping) sur les VPN hospitaliers est le vecteur d'accès initial le plus fréquemment documenté dans les incidents ransomware santé. Le déploiement d'un MFA fort (application d'authentification TOTP ou FIDO2) sur tous les accès distants — praticiens, administratifs, prestataires — est la mesure défensive qui a le meilleur rapport impact/coût disponible en 2026. Ce n'est pas un projet de 6 mois : c'est une configuration qui peut être déployée en 2 à 4 semaines sur les principales solutions VPN utilisées dans les hôpitaux français.

Deuxième priorité : Segmentation réseau des équipements biomédicaux. Isoler les équipements biomédicaux connectés dans un VLAN dédié, sans accès direct au réseau principal, avec des règles de filtrage strictes pour les communications nécessaires (vers les serveurs centraux PACS, DMP) est une mesure architecturale qui limite drastiquement la propagation des ransomwares. Cette mesure ne nécessite pas de remplacer les équipements biomédicaux — elle nécessite une configuration réseau qui peut être réalisée avec l'infrastructure existante dans la majorité des établissements.

Troisième priorité : Sauvegardes immuables testées. La restauration rapide après un incident ransomware nécessite des sauvegardes récentes sur support immuable, isolées du réseau de production. Les solutions modernes de sauvegarde (Veeam avec hardened repository, NetApp SnapLock, solutions cloud avec Object Lock) permettent de créer des points de restauration inattaquables par un ransomware, même si l'attaquant dispose de droits d'administration sur le réseau. La fréquence des sauvegardes doit être adaptée à la criticité des données — pour les données DME actives, une sauvegarde toutes les 4 heures est un minimum acceptable.

Recommandations actionnables : plan en six étapes

  • MFA fort sur tous les accès distants (J+0 à J+30) : Auditez tous les points d'accès distants au SI hospitalier (VPN, RDP, Citrix, accès aux applications web internes). Déployez un MFA fort (TOTP ou FIDO2, pas SMS) sur l'ensemble de ces accès. Incluez les prestataires tiers et les praticiens libéraux — leur compromission est un vecteur d'accès initial aussi important que celui des employés directs.
  • Patch management prioritaire sur les équipements exposés : Identifiez tous les équipements réseau et sécurité exposés à Internet (VPN concentrators, firewalls, portails web). Établissez un SLA de patch de 48h pour les CVE CVSS ≥ 9.0 sur ces équipements. Créez un processus de patch d'urgence qui peut être activé sans réunion CAB complète pour les failles dans le catalogue KEV CISA.
  • Segmentation réseau des équipements biomédicaux (J+30 à J+90) : Créez un VLAN dédié aux équipements biomédicaux connectés avec des règles de filtrage strictes. Aucun équipement biomédical ne doit avoir accès direct au LAN administratif ou aux serveurs d'application. Ce chantier peut être réalisé progressivement, en commençant par les équipements les plus critiques (moniteurs UCI, pompes à perfusion) et en étendant progressivement.
  • Sauvegardes immuables 3-2-1 testées (J+30 à J+90) : Implémentez une stratégie de sauvegarde 3-2-1 avec au moins une copie sur support immuable isolé. Testez la restauration réelle depuis ces sauvegardes trimestriellement — pas seulement la création des sauvegardes. Documentez votre RTO réel (Recovery Time Objective) pour chaque système critique. Ce RTO déterminera votre capacité à résister à la pression de paiement lors d'un incident.
  • Exercices de crise en conditions dégradées (annuel) : Organisez au minimum un exercice annuel de basculement en mode dégradé (procédures papier, communication de substitution, réorientation des patients). Ces exercices doivent être aussi sérieux que les exercices incendie réglementaires. Ils doivent impliquer les équipes médicales et paramédicales, pas seulement l'IT.
  • Contrats avec prestataires de réponse à incident (processus) : Négociez et signez des contrats de prestation de réponse à incident avec des acteurs qualifiés (prestataires qualifiés PRIS de l'ANSSI) avant qu'un incident se produise. Un contrat signé en urgence lors d'un incident coûte 3 à 5 fois plus cher qu'un contrat cadre négocié à froid. Vérifiez que les contacts du CERT-FR et de votre ARS sont à jour dans votre plan de réponse à incident.

Ma position

Je suis convaincu que le secteur de la santé ne sortira de cette spirale qu'en changeant fondamentalement son rapport à la cybersécurité. La cyber n'est plus un poste de coût IT géré par la DSI — c'est une composante de la sécurité des patients, au même titre que l'hygiène hospitalière ou la pharmacovigilance. Les directeurs d'hôpitaux qui traitent encore la cybersécurité comme un sujet technique délégué à l'informatique prennent un risque personnel et institutionnel croissant, renforcé par les obligations NIS2 et les exigences de la certification HDS.

La bonne nouvelle, que j'observe sur le terrain : les établissements qui ont véritablement investi — en temps, en formation, en exercices — s'en sortent infiniment mieux que leurs homologues lors d'un incident. La différence entre un hôpital qui reprend en 3 jours et un autre qui met 28 jours, ce n'est pas le budget cybersécurité absolu. C'est la qualité des procédures, la régularité des exercices, et la présence de sauvegardes testées et isolées.

Mon message aux directions hospitalières : l'incident ChipSoft aux Pays-Bas n'est pas un scénario hypothétique pour votre établissement. C'est votre futur proche si vous n'agissez pas. La conformité réglementaire NIS2 est un minimum légal, pas un objectif de sécurité. La résilience réelle se construit dans les exercices et les investissements concrets — pas dans les documents de politique qui restent dans un tiroir.

Le rôle des équipements médicaux connectés dans l'exposition cyber des établissements de santé

Si les systèmes d'information hospitaliers constituent la cible principale des ransomwares, les équipements médicaux connectés représentent une surface d'attaque structurellement négligée. En 2026, l'hôpital moyen de taille intermédiaire exploite entre 5 000 et 15 000 dispositifs médicaux connectés : moniteurs cardiaques, pompes à perfusion, scanners, systèmes d'imagerie PACS, équipements de radiologie. Une proportion significative de ces équipements fonctionne sous Windows XP ou Windows 7, des systèmes d'exploitation pour lesquels aucun correctif de sécurité n'est disponible depuis des années.

La raison de cette situation n'est pas l'ignorance des responsables informatiques hospitaliers — ils sont parfaitement conscients du problème — mais la contrainte réglementaire et économique. La mise à jour du firmware ou du système d'exploitation d'un équipement médical certifié CE nécessite une nouvelle certification auprès des autorités compétentes. Cette démarche peut prendre 18 à 36 mois et coûter plusieurs centaines de milliers d'euros. Les fabricants sont donc peu enclins à la réaliser pour des équipements en fin de vie commerciale, et les établissements sont coincés avec des systèmes vulnérables qu'ils ne peuvent pas patcher.

La segmentation réseau est la mesure compensatoire la plus efficace. Les équipements médicaux doivent être isolés dans des VLAN dédiés avec des règles de pare-feu strictes limitant leurs communications aux seuls systèmes cliniques légitimes. Tout trafic sortant vers Internet depuis ces équipements doit être bloqué par défaut. Le monitoring comportemental — détecter qu'un scanner qui ne communiquait jamais avec un serveur externe tente soudainement d'établir une connexion sortante — constitue un signal d'alerte fiable.

Conformité NIS 2 et référentiel HDS : obligations spécifiques pour les opérateurs de santé

Le secteur de la santé bénéficie désormais d'un cadre réglementaire renforcé qui crée des obligations précises en matière de cybersécurité. La directive NIS 2, transposée en droit français via la loi du 26 octobre 2024, classe les établissements de santé d'une certaine taille comme entités essentielles ou importantes, selon leur chiffre d'affaires et leur nombre de patients. Cette classification impose des obligations de gestion des risques, de notification d'incident sous 24 heures pour les incidents significatifs, et d'audit de sécurité régulier.

Le référentiel HDS (Hébergeur de Données de Santé) impose des exigences complémentaires pour tout organisme hébergeant des données de santé à caractère personnel. La certification HDS v2.0, obligatoire depuis janvier 2020, couvre la sécurité physique, la gestion des accès, la continuité d'activité et la gestion des incidents. La combinaison NIS 2 + HDS crée un niveau d'exigence inédit pour les RSSI du secteur, avec des sanctions potentielles jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les manquements NIS 2.

Budget cybersécurité dans les établissements de santé : réalités et leviers de financement

La contrainte budgétaire est une réalité incontournable dans le secteur de la santé publique. Les établissements hospitaliers consacrent en moyenne 1 à 2 % de leur budget total à l'informatique, dont une fraction seulement est allouée à la cybersécurité. Ce niveau est très en deçà des recommandations de l'ANSSI, qui préconise une allocation d'au moins 5 à 10 % du budget IT à la sécurité pour les entités essentielles.

Plusieurs leviers de financement existent cependant. Le programme CaRE (Cybersécurité accélérée pour les établissements de santé), lancé en 2023 avec une enveloppe de 250 millions d'euros sur cinq ans, finance des projets structurants : déploiement de sondes de détection réseau, formation des équipes, mise en conformité NIS 2. Les groupements hospitaliers de territoire (GHT) permettent également une mutualisation des ressources humaines et techniques, rendant accessibles à des établissements de taille modeste des compétences cybersécurité qu'ils ne pourraient pas recruter individuellement.

Le RSSI d'un établissement de santé doit aujourd'hui maîtriser le langage budgétaire du directeur général. Un incident ransomware coûte en moyenne 1,3 million d'euros à un établissement hospitalier de taille intermédiaire — entre les coûts de réponse à incident, la perte de revenus due à l'interruption d'activité, les coûts de restauration des systèmes et les pénalités réglementaires potentielles. Rapporté à ce coût évité, un investissement de 200 000 euros dans un SOC externalisé avec supervision 24/7 présente un ROI immédiatement compréhensible par la direction générale.

Conclusion

Les incidents ChipSoft et l'hôpital du Massachusetts ne sont pas les derniers épisodes d'une série qui va s'intensifier. Le secteur de la santé doit passer d'une posture réactive — subir et reconstruire — à une posture proactive : anticiper, segmenter, tester, investir. Les patients ne peuvent pas attendre que leur hôpital comprenne la cybersécurité après un incident majeur. La fenêtre pour agir avant le prochain incident se ferme rapidement — les groupes ransomware intensifient leurs opérations contre le secteur santé, et la concentration sur quelques éditeurs dominants crée un risque systémique qui ne fera que croître. Si votre établissement n'a pas testé son plan de continuité d'activité en mode dégradé cette année, considérez qu'il n'en a pas de fonctionnel.

L'essentiel à retenir

  • +78 % d'incidents cyber dans les établissements de santé français en 2 ans (ANSSI 2025) — taux de paiement de rançon 2,3x plus élevé que dans la finance (Health ISAC 2026). La santé est la cible idéale.
  • Trois facteurs convergents : données médicales à 250-1000$/dossier vs 0,5-5$ pour une CB, pression de continuité des soins sans équivalent, surface d'attaque étendue avec équipements biomédicaux non patchables.
  • Priorités d'action : MFA fort sur tous les accès distants, segmentation réseau des équipements biomédicaux, sauvegardes immuables testées trimestriellement, exercices de crise en conditions dégradées, contrats PRIS pré-signés.
  • Articles connexes : Ransomware en 24h : la fin de la réponse lente, Instructure paie la rançon : un précédent inquiétant, Appliances réseau : le maillon faible.

Audit de cybersécurité pour votre établissement de santé ?

Je peux évaluer votre posture de sécurité, auditer votre segmentation réseau et vos sauvegardes, et construire avec vous un plan d'action priorisé adapté aux contraintes opérationnelles du secteur hospitalier.

Prendre contact

Cartographie des systèmes critiques et segmentation réseau hospitalière

La sécurité du secteur de la santé commence par une cartographie rigoureuse des actifs exposés. Les systèmes d'information hospitaliers (SIH) regroupent des dizaines de types de systèmes hétérogènes : équipements biomédicaux connectés (moniteurs, pompes à perfusion, IRM), systèmes PACS d'imagerie, dossier patient informatisé (DPI), systèmes de pharmacie automatisée et infrastructure de téléphonie sur IP. Chacun de ces composants représente une surface d'attaque potentielle, souvent administrée par des équipes différentes avec des niveaux de maturité cybersécurité très variables.

La segmentation réseau reste la mesure de protection la plus efficace dans ce contexte. Un réseau hospitalier correctement segmenté limite la propagation d'un ransomware à un segment isolé, évitant la paralysie totale documentée dans les incidents les plus graves. En pratique, la segmentation doit séparer au minimum : le réseau des équipements biomédicaux, le réseau administratif, le réseau clinique et les accès internet. Des pare-feu de nouvelle génération (NGFW) contrôlent les flux entre segments, avec une politique de refus par défaut qui n'autorise que les communications strictement nécessaires.

Plan de continuité d'activité et procédures de bascule en mode dégradé

L'expérience des incidents les plus graves — comme celui qui a frappé le CHU de Rennes en 2023 ou le Change Healthcare aux États-Unis en 2024 — montre que la capacité de l'établissement à fonctionner en mode dégradé est aussi importante que la prévention. Un plan de continuité d'activité (PCA) adapté au contexte hospitalier doit documenter précisément les procédures papier ou sur système isolé pour chaque processus critique : prescription médicamenteuse, résultats de biologie, planning des blocs opératoires, gestion des lits.

Ces procédures de bascule doivent être connues du personnel soignant avant qu'une crise ne survienne. Des exercices réguliers — au minimum annuels — testant le fonctionnement en mode dégradé sur une journée complète permettent d'identifier les lacunes procédurales et de former les équipes. Les établissements les plus avancés ont constitué des « kits de crise numérique » : ordinateurs portables pré-configurés sans connexion au SIH principal, copies locales des données critiques actualisées quotidiennement, et listes de contacts de crise (ANSSI, CERT Santé, prestataires de réponse à incident).

Coopération sectorielle et partage d'informations sur les menaces

Face à des attaquants qui mutualisent leurs outils et leurs techniques via des forums criminels, la réponse du secteur santé passe par une coopération renforcée entre établissements. En France, le CERT Santé opéré par l'ANS (Agence du Numérique en Santé) constitue le point focal de ce partage d'information. Les établissements membres bénéficient d'alertes précoces sur les campagnes en cours, de bulletins techniques sur les nouvelles vulnérabilités affectant les logiciels sectoriels, et d'une ligne d'urgence cybersécurité disponible 24h/24.

À l'échelle européenne, l'agence ENISA publie des rapports spécifiques au secteur santé et coordonne avec les CSIRT nationaux. La directive NIS 2, entrée en application en octobre 2024, impose aux établissements de santé de taille significative des obligations de notification d'incident et de mise en place de mesures de gestion des risques documentées. Ces obligations créent un cadre légal qui accélère la mise à niveau cybersécurité des établissements qui n'avaient pas spontanément investi dans ce domaine. Le fait de partager les indicateurs de compromission (IOC) avec le CERT Santé dans les 24 heures suivant un incident détecté contribue directement à protéger les établissements voisins d'une même vague d'attaques.