Si les hôpitaux sauvent des vies, leurs systèmes d'information, eux, sont souvent en soins intensifs. Depuis quelques années, le secteur de la santé est devenu la cible favorite des cyberattaquants. Pourquoi ? Parce qu’il cumule tout ce qu’un pirate adore : des données sensibles, une pression opérationnelle constante, et un niveau de cybersécurité parfois anémique.
📋 Dossier médical, jackpot numérique
Les dossiers patients valent de l’or sur le dark web : de 250 à 1000 $ par enregistrement, selon leur richesse. Contrairement aux cartes bancaires qui peuvent être bloquées en un clic, les informations médicales sont immuables, difficilement falsifiables, et peuvent servir à usurper une identité, monter des fraudes à l’assurance ou faire du chantage.
Exemple récent : En janvier 2024, le groupe cybercriminel RA Group a revendiqué une attaque contre un hôpital pédiatrique américain, exposant des milliers de données de patients, y compris des résultats d’examens, diagnostics, et coordonnées parentales. L’établissement n’avait pas de PRA (plan de reprise d’activité) structuré, prolongeant l’indisponibilité des soins informatisés pendant plus de deux semaines.
🧬 Vulnérabilités techniques récurrentes
1. Systèmes obsolètes : l’ennemi intérieur
Beaucoup d’hôpitaux fonctionnent encore avec des versions obsolètes de Windows (Windows 7 voire XP !), sans patchs de sécurité, souvent par dépendance applicative. C’est une porte d’entrée royale pour les ransomwares.
Cas emblématique : WannaCry en 2017. L’attaque a paralysé plus de 40 hôpitaux du NHS britannique, entraînant l’annulation de 20 000 rendez-vous médicaux. En 2025, certains établissements fonctionnent toujours avec les mêmes pratiques… ce n’est plus un retard, c’est de la réanimation logicielle.
2. Objets connectés non sécurisés (IoMT)
Les équipements médicaux (pompes à insuline, IRM connectées, moniteurs de signes vitaux) sont rarement conçus avec la cybersécurité en tête. Peu voire aucun chiffrement, des ports ouverts par défaut, des mises à jour impossibles sans intervention fabricant… Ce sont des failles sur roulettes.
Exemple : En 2023, une alerte du CERT-FR mentionnait une vulnérabilité critique (CVE-2023-23416) dans certains dispositifs de radiologie Siemens, permettant une exécution de code à distance. Aucune authentification requise. Autrement dit : une IRM à distance qui peut être transformée en point d’ancrage réseau pour pivoter vers le SI hospitalier.
3. Authentification faible ou inexistante
L’usage de comptes partagés (admin/admin, ça vous dit quelque chose ?) et l’absence de MFA dans les interfaces d’accès à distance restent monnaie courante. Les accès VPN ou aux DSI hospitalières sont souvent protégés par de simples couples login/mot de passe. À l’heure où même Netflix pousse le MFA, certains hôpitaux pensent encore que ça complique la vie des soignants. C’est vrai… mais les pirates, eux, adorent cette simplicité.
🔬 Vulnérabilités humaines : le maillon faible
Le facteur humain est omniprésent : personnel médical débordé, formation à la cybersécurité quasi inexistante, gestion des droits à la va-vite. Un simple clic sur une pièce jointe piégée peut suffire à paralyser tout un hôpital.
Exemple français : En février 2023, le CHU de Brest a été victime d’un ransomware après qu’un agent administratif a ouvert une pièce jointe dans un faux mail de l’Assurance Maladie. Résultat : blocage de tous les systèmes informatiques, retards opératoires, et patients transférés vers d’autres centres.
🎯 Priorisation des actions
Voici une checklist d’urgence pour éviter la mise en coma cybernétique :
| Priorité | Action | Détail |
|---|---|---|
| Haute | Cartographie des équipements | Identifier tous les dispositifs médicaux connectés |
| Haute | Mise en place du MFA | Pour tout accès à distance, VPN, messagerie, SIH |
| Haute | Segmentation réseau | Isoler les équipements médicaux du reste du SI |
| Moyenne | MCO/MCS rigoureux | Patch management, même pour les applis critiques |
| Moyenne | Sensibilisation des équipes | Phishing, mots de passe, procédures de signalement |
| Basse (mais nécessaire) | Audit IoMT régulier | Tester les équipements connectés pour des vulnérabilités logicielles |
🧠 En résumé
Le secteur de la santé est malade de ses failles numériques. Mais ce n’est pas une fatalité. Avec une approche pragmatique, un bon diagnostic (audit, cartographie), et quelques traitements de fond (MFA, patching, PRA), il est possible de retrouver une cyber-immunité satisfaisante.
La santé n’attend pas. Les pirates non plus.
Et surtout, cessons le silence. Comme nous le rappelions dans notre article « Cybersécurité & Santé : Quand le Silence Aggrave la Crise« , communiquer sur les incidents, partager les retours d’expérience et collaborer à l’échelle nationale est vital. Ce n’est pas une preuve de faiblesse, c’est une stratégie de résilience.
