15% des établissements de santé perturbés par une cyberattaque depuis 2022

En 2023, l’Agence du numérique en santé( ANS) avait déjà financé une campagne de crise dans les établissements sanitaires. "On avait eu une forte mobilisation de tous les directeurs. Ça avait été une vraie prise de conscience de ce que pouvait représenter une cyberattaque, indique Estelle Nicaud, responsable de mission programme CaRE. Deux ans après, on a souhaité savoir où les établissements en étaient."

L’ANS a donc lancé une enquête sur l’étude de la cybersécurité des établissements de santé, réalisée par le cabinet Occurrence (Ifop) du 16 mai au 30 juin 2025. Elle a été dévoilée le 12 mars dernier, en co-construction avec les fédérations hospitalières. Elle est la première de ce type à l’échelle nationale. L’objectif étant de "dresser un état des lieux réaliste de la maturité des établissements de santé sur la prévention du risque cyber, comprendre les arbitrages opérationnels dans ce domaine et identifier les leviers d’actions".

719 directeurs d’établissements de santé ont été interrogés, dont 33% de structures à but lucratif, 29% de structures à but non lucratif et 41% de structures publiques. "C’est une vraie prise en compte du sujet", ajoute Estelle Nicaud, qui estime que l’enquête a aussi permis "d’avoir le ressenti et la perception des directeurs d’établissement."

Les directeurs d’établissements ont déclaré au total 764 menaces. "On sent que cette cybermenace est permanente, c’est le caillou dans la chaussure. Elle est systémique durable et croissante, reconnaît David Petauton, directeur de la communication de l’ANS. On leur a aussi demandé combien avait été confrontés à des attaques qui ont provoqué des perturbations, ils étaient 15%". Laurent Pierre, conseiller numérique en santé de la Fédération hospitalière de France (FHF) alerte aussi sur l’intelligence artificielle qui "est un nouveau vecteur de multiplication de la menace"..

Parmi les répondants qui ont fait l’objet d’une cyberattaque et qui ont vu leur établissement perturbé, 32% se sentaient "insuffisamment préparés", 53% "assez bien préparés" et 15%, "bien préparés" révèle l’enquête. Du côté des établissements qui n’ont pas été perturbés par une cyberattaque, 21% sont "insuffisamment préparés", 66% "assez bien préparés" et 13% "bien préparés".

L’enquête s’est également intéressée aux priorités des directeurs d’établissements de santé en cas d’une cyberattaque. La première concerne la continuité des soins, évaluée à 4,1/5, suivi du coût financier à 3,9/5, puis la qualité de vie au travail du personnel de santé à 3,8/5. "La perte d’activité [évaluée à 3,5/5, ndlr] est une conséquence mais ce n’est pas qui fait peser le poids", estime Christine Pichon Abarnou, directrice des services numérique au CHU de Rennes.

Pour limiter l’impact de ces cyberattaques, l’enquête s’est renseignée sur ce que les directeurs d’établissement souhaiteraient mettre en place. 88% des directeurs d’établissement "plébiscitent la mutualisation des expertises entre établissements d’un même territoire", soulève l’enquête, évoquant par exemple les centre régionaux de ressources cyber (CRRC), les Groupements régionaux d’appui à la e-santé (Grades), les ARS… 58% opteraient pour une mise à disposition de solutions communes portées par un acteur local souverain. Et 57% aimeraient une convergence de solutions informatiques communes à moyen terme.

Les répondants ont également été questionnés sur les mesures financières qu’ils seraient prêts à engager. Trois directeurs d’établissements sur quatre répondent la formation et/ou la sensibilisation du personnel ainsi que la réalisation d’exercices de crise. 71% mentionnent l’actualisation des documents (analyses de risques, plan de continuité et de reprises d’activité) et 61% indiquent l’investissement sur l’infrastructure matérielle du système informatique.