Sélectionner une page

Cybersécurité dans les établissements de santé : un enjeu stratégique pour tout l’écosystème

1 / 09 / 2025 | Flux Santé

5 min

La cybersécurité dans les établissements de santé est aujourd’hui bien plus qu’une exigence réglementaire. Elle constitue un pilier indispensable à la continuité des soins, à la protection des données sensibles des patients et à la résilience du système de santé dans son ensemble. Face à une recrudescence des cyberattaques toujours plus sophistiquées, le secteur doit impérativement se doter de moyens humains, techniques et organisationnels à la hauteur du défi.

C’est dans ce contexte qu’a été lancé le programme national CaRE – pour Cybersécurité, Accélération et Résilience des Établissements – une initiative structurante portée par le ministère de la Santé, la DNS (Délégation du numérique en santé) et l’ANS (Agence du numérique en santé).

Dans cet article, nous faisons le point sur les enjeux, les chiffres clés et les réponses concrètes apportées par le programme CaRE pour renforcer la cybersécurité des établissements de santé en France.

Une menace devenue systémique : les cyberattaques explosent dans le secteur de la santé

Depuis la crise sanitaire de 2020, le secteur de la santé est devenu une cible prioritaire pour les cybercriminels. Selon les chiffres de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), plus de 11 % des incidents de sécurité en 2023 ont concerné des structures de santé, contre à peine 3 % en 2020. Ce chiffre, en constante augmentation, témoigne d’une fragilité structurelle et d’un enjeu stratégique national.

Quels types d’attaques ciblent les hôpitaux et établissements médico-sociaux ?

Les attaques les plus fréquentes sont :

  • Les rançongiciels (ransomware) : ces logiciels malveillants chiffrent les données et exigent une rançon pour les restituer.
  • L’espionnage industriel ou étatique : les données médicales ont une valeur élevée sur le marché noir.
  • Les attaques par déni de service (DDoS) : elles visent à rendre un système inaccessible pendant une période donnée.

Ces cyberattaques n’épargnent aucun acteur : hôpitaux, EHPAD, prestataires de services, éditeurs de logiciels de santé ou encore industriels du médicament. Les conséquences sont parfois dramatiques : systèmes paralysés pendant plusieurs jours, consultations annulées, transferts de patients vers d’autres structures, atteinte à la confiance des usagers…

Le programme CaRE : une réponse à la hauteur de l’urgence cyber

Face à cette menace, les pouvoirs publics ont réagi en lançant, fin 2022, le programme CaRE. Ce plan d’action vise à renforcer la sécurité numérique des établissements de santé et à en faire un enjeu stratégique et budgétaire à part entière.

Les objectifs du programme CaRE

Le programme CaRE poursuit deux objectifs complémentaires :

  1. Empêcher les attaques d’aboutir (prévention et anticipation).
  2. Réduire l’impact et le temps de récupération en cas d’attaque (résilience et continuité d’activité).

Pour cela, une enveloppe de 250 millions d’euros a été mobilisée sur la période 2023-2025, avec un objectif d’investissement global de 750 millions d’euros d’ici 2027.

 

Les 4 piliers du programme CaRE pour renforcer la cybersécurité dans les établissements de santé

Le programme CaRE s’articule autour de quatre axes structurants, conçus pour accompagner les établissements à différents niveaux de maturité.

  1. Gouvernance & Résilience

La cybersécurité doit être intégrée dans le projet stratégique et le budget global de chaque établissement. Il ne s’agit plus d’un sujet réservé aux directions informatiques : c’est un enjeu de gouvernance impliquant les directions générales, les équipes médicales et administratives.

  1. Ressources & Mutualisation

Pour répondre aux besoins croissants :

  • Les établissements sont encouragés à renforcer leurs équipes numériques (DSI, RSSI…).
  • Des mutualisations sont favorisées via les GHT (Groupements hospitaliers de territoire) et les GRADeS (Groupements régionaux d’appui au développement de la e-santé).

L’objectif est d’éviter les redondances, d’optimiser les compétences rares et de structurer des réponses collectives.

  1. Sensibilisation & Formation

Les attaques réussies exploitent très souvent des erreurs humaines. Pour y remédier, le programme CaRE prévoit :

  • Des kits de sensibilisation,
  • Des campagnes de communication internes,
  • Des modules intégrés aux formations initiales (médecins, infirmiers, administrateurs…).

Chaque professionnel de santé, quel que soit son rôle, doit devenir un acteur de la cybersécurité.

  1. Sécurité opérationnelle

Enfin, des actions concrètes sont déployées pour renforcer la protection des systèmes :

  • Audits de sécurité réguliers,
  • Supervision renforcée des postes de travail,
  • Sécurisation des accès à distance (VPN, authentification forte),
  • Plans de continuité d’activité (PCA) en cas d’attaque ou de panne.
hospitalis

Une dynamique collective sur le terrain

La réussite du programme CaRE repose sur un effort collectif mené sur tous les territoires.

Quelques chiffres clés :

  • En 2023, plus de 1 300 exercices de crise cyber ont été réalisés dans les établissements, en lien avec les ARS et l’ANS.
  • D’ici fin 2025, 70 % des établissements devront avoir nommé un RSSI (Responsable de la Sécurité des Systèmes d’Information).
  • 100 % des GHT devront s’engager dans une trajectoire de convergence cyber.
  • Chaque structure devra consacrer au moins 2 % de son budget au numérique et à la cybersécurité.

Pour accompagner cette transformation, un référentiel d’autoévaluation a été publié début 2024. Il permet à chaque établissement d’identifier ses forces et faiblesses, puis de construire une feuille de route adaptée à son niveau de maturité.

Pourquoi la cybersécurité est-elle un enjeu vital pour la santé ?

Protéger les systèmes d’information, ce n’est pas seulement éviter des pannes informatiques. C’est garantir :

  • La continuité des soins,
  • La confidentialité des données médicales,
  • La confiance des patients et du personnel,
  • La conformité aux obligations réglementaires.

À mesure que le secteur se digitalise (dossier médical partagé, télémédecine, objets connectés…), la surface d’attaque s’élargit. La sécurité doit donc être pensée en amont de chaque projet, et non comme une couche ajoutée après coup.

Devenons toutes et tous cybervigilants

Le programme CaRE est une réponse ambitieuse et structurée à une menace devenue quotidienne. Il ne pourra réussir que si chaque acteur de santé, à tous les niveaux, s’empare du sujet.

La cybersécurité n’est plus une affaire technique, c’est une affaire de responsabilité partagée. Ensemble, renforçons la protection de notre système de santé et agissons pour un numérique de confiance.