Un an après qu’un rapport de la Cour des comptes a mis en lumière la fragilité des systèmes informatiques du monde hospitalier, l’enjeu n’est plus seulement technique mais juridique, organisationnel et économique.
Le 3 janvier 2025, la Cour des comptes publiait un rapport alarmant sur la vulnérabilité numérique des établissements de santé. Si la menace n’a guère évolué en un an et demi, le cadre réglementaire s’est considérablement durci. Les hôpitaux et établissements de santé demeurent toujours des cibles privilégiées des cyberattaques. Ils sont désormais aussi soumis à un corpus normatif dense et prescriptif. La cybersécurité hospitalière n’est plus une question d’anticipation : elle est devenue un impératif de conformité et de continuité des soins.
Une vulnérabilité objectivée
Les établissements de santé figurent, depuis plusieurs années, parmi les organisations les plus exposées au risque cyber (1). Les chiffres convergent : attaques par rançongiciel, compromissions d’identités, fuites massives de données de santé, indisponibilités prolongées des systèmes d’information hospitaliers. Entre 2022 et 2023, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a ainsi recensé trente attaques par rançongiciel ayant affecté des établissements de santé, soit environ 10 % des incidents notifiés, avec des impacts opérationnels souvent majeurs. Dans son rapport de janvier 2025, la Cour des comptes soulignait que la fréquence de ces attaques, conjuguée à la fragilité structurelle de nombreux systèmes hospitaliers, faisait peser un risque direct sur la continuité des soins, la sécurité des patients et la protection des données personnelles (2).
L’année écoulée confirme ce diagnostic : les cyberincidents ont...
