Contact
par Camille Laurent
Sécurité et Défense

Comment mettre en place un plan national de résilience face aux cyberattaques ciblant la santé

02 Dec 2025 • par Camille Laurent
Comment mettre en place un plan national de résilience face aux cyberattaques ciblant la santé

Les cyberattaques visant le secteur de la santé ne sont plus des scénarios hypothétiques : ce sont des réalités quotidiennes. En tant qu'observatrice des politiques publiques, je vois combien l'impact de ces attaques dépasse la simple perte de données — il met en péril des vies, la confiance des patients et le fonctionnement même de notre système de santé. Voici comment, selon moi, il faut construire un plan national de résilience spécifiquement adapté aux cybermenaces qui visent les établissements et services de santé.

Comprendre l'enjeu : pourquoi la santé est une cible particulière

Les hôpitaux, cliniques, laboratoires et fabricants de dispositifs médicaux sont des cibles attrayantes pour plusieurs raisons : données personnelles et médicales sensibles, dépendance à des systèmes informatiques pour la prise en charge des patients, et souvent des infrastructures vieillissantes avec des budgets limités pour la cybersécurité. Les attaques par ransomware, le sabotage ou le vol de propriété intellectuelle peuvent avoir des conséquences immédiates sur la sécurité des patients. Il faut partir de cette réalité pour concevoir un plan national efficace.

Principes directeurs d'un plan national de résilience

Je propose de fonder tout plan sur quatre principes clairs :

  • Prévention : réduire les vulnérabilités avant qu'une attaque ne se produise.
  • Détection : repérer rapidement une intrusion ou une anomalie.
  • Réponse : contenir et rétablir les services essentiels.
  • Résilience : garantir la continuité des soins même en situation dégradée.

    • Composantes opérationnelles du plan

    Un plan national ne peut pas rester théorique. Il doit définir des mesures concrètes et opérationnelles, déployées à plusieurs niveaux :

    Gouvernance et coordination

    Il faut une structure dédiée, rassemblant ministère de la Santé, agences nationales (ANSSI, Santé publique France), CERT-FR, agences régionales de santé et représentants des établissements. Je préconise la création d'une cellule nationale de résilience santé-cybersécurité chargée de :

  • définir des normes minimales obligatoires de sécurité pour tous les acteurs de santé ;
  • coordonner les plans d'intervention et la communication de crise ;
  • assurer la montée en compétence des ARS et hôpitaux.

    • Cadre réglementaire et incitatif

    Le plan doit s'appuyer sur des obligations légales (conformes à NIS2 et RGPD) mais aussi sur des mécanismes d'incitation : financements ciblés, bonus qualité pour les établissements respectant des standards, et sanctions proportionnées pour les manquements critiques. Les achats publics doivent intégrer des clauses de cybersécurité dans les appels d'offres, notamment concernant les dispositifs médicaux connectés (IoMT).

    Renforcement technique

    Sur le plan technique, voici les mesures prioritaires que je veux voir déployées massivement :

  • Inventaire et segmentation des réseaux : connaître les actifs, isoler les systèmes critiques (imagerie, bloc opératoire, dispositifs de perfusion) du reste du réseau.
  • Gestion des correctifs et des configurations sécurisées : obligations de patching régulier, recours à des solutions de gestion de parc (SCCM, Tanium, etc.).
  • Authentification forte et gestion des accès : MFA obligatoire pour les accès sensibles, gestion des identités (IAM).
  • Backups immuables et plan de reprise : sauvegardes hors ligne et tests réguliers des plans de restauration.
  • Surveillance et détection avancée : déploiement d'EDR, SIEM, et d'outils d'analyse comportementale.

    • Protection des dispositifs médicaux et de la chaîne d'approvisionnement

    Les dispositifs médicaux connectés représentent un périmètre particulièrement vulnérable. J'insiste sur :

  • certification et exigences de sécurité pour les fournisseurs ;
  • inventaire obligatoire des dispositifs et mise à jour par les fabricants ;
  • procédures pour retirer ou isoler rapidement un appareil compromis.

    • La chaîne d'approvisionnement doit aussi être sécurisée : audits de sécurité des fournisseurs, clauses contractuelles et mécanismes de traçabilité.

    Formation et exercices

    On oublie trop souvent l'humain. Un plan national doit financer la formation obligatoire en cybersécurité pour le personnel médical et administratif. Il doit aussi organiser des exercices réguliers :

  • exercices sur table (tabletop) pour les directions d'établissement ;
  • exercices techniques (red team/blue team) pour les équipes IT ;
  • scénarios de crise inter-établissements et transversaux (laboratoires, pharmaceutique, secours).

    • Ces exercices permettent de tester les procédures et les communications entre acteurs.

    Partage d'information et coopération public-privé

    La détection précoce passe par le partage d'information. Il faut renforcer les mécanismes de remontée d'incidents vers les CERT et favoriser les échanges entre hôpitaux, industriels pharmaceutiques, startups de cybersécurité et chercheurs. Je soutiens la mise en place de plateformes anonymisées ou à accès restreint pour partager des IOC (indicators of compromise) et des retours d'expérience — en s'inspirant des bonnes pratiques du secteur financier.

    Communication de crise et confiance publique

    En cas d'attaque majeure, la transparence est cruciale pour maintenir la confiance. Le plan doit prévoir des protocoles de communication coordonnés : messages aux patients, moyens d'information pour les médecins généralistes, et lignes dédiées pour les proches. La communication doit être claire, éviter la panique et fournir des instructions pratiques (rendez-vous, réorientation des soins).

    Financement et évaluation

    Un plan ambitieux nécessite des moyens : un fonds national dédié à la cyber-résilience en santé, subventions pour moderniser les infrastructures et aides pour les petites structures. Il faut aussi des indicateurs de performance (temps moyen de détection, taux de restauration après attaque, part des établissements conformes) et des audits réguliers pour évaluer l'état d'avancement.

    Checklist opérationnelle

    ObjectifAction prioritaire
    InventaireCartographier les actifs et dispositifs médicaux
    PréventionSegmenter, patcher, MFA
    DetectionDéployer SIEM/EDR et échanges avec CERT
    RéponsePlan incident, backups immuables, cellule de crise
    ContinuitéProcédures manuelles et redondances pour services critiques

    Je pense que la réussite d'un tel plan dépendra de notre capacité à le rendre concret, financé et co-construit avec les acteurs de terrain. Ce n'est pas seulement une question technique : c'est une décision politique et sociale qui engage la sécurité des patients et la souveraineté sanitaire. Agir maintenant, avec méthode et ambition, est le seul moyen d'éviter que de futurs incidents ne deviennent des catastrophes sanitaires.

    Vous devriez également consulter les actualités suivante :

    Quel bilan tirer des politiques de prévention de la délinquance dans les quartiers populaires
    Société

    Quel bilan tirer des politiques de prévention de la délinquance dans les quartiers populaires

    Quand on parle de prévention de la délinquance dans les quartiers populaires, je pense d'abord à...

    02 Dec Lire la suite... →
    Pourquoi la politique migratoire européenne doit intégrer des quotas de travail adaptés
    Relations internationales

    Pourquoi la politique migratoire européenne doit intégrer des quotas de travail adaptés

    La migration est devenue l'un des sujets les plus débattus et souvent polarisants de notre...

    02 Dec Lire la suite... →