La cybersécurité des établissements de santé : 764 incidents en 2025, directive NIS 2 et transformation numérique du service public hospitalier
Lors de la première édition des Rencontres de l'Agence du numérique en santé (ANS), tenues le 12 mars 2026 à PariSanté Campus, l'ANS a présenté les résultats de son Observatoire des incidents de sécurité des systèmes d'information pour les secteurs santé et médico-social : 764 incidents de cybersécurité ont été déclarés par les établissements de santé en 2025. Une étude réalisée par le cabinet Occurrence (groupe IFOP) révèle que 42 % des directeurs d'établissements estiment ne pas disposer du budget et des ressources nécessaires pour élaborer un plan de prévention des risques cyber au bon niveau. Parallèlement, 15 % des établissements de santé ont été touchés par une cyberattaque au cours des trois dernières années, et les attaques par rançongiciel ont doublé en 2025, passant de 4 % à 8 % des établissements touchés. Ces chiffres interviennent alors que la transposition de la directive européenne NIS 2, qui classe les établissements de santé parmi les « entités essentielles », est attendue au printemps 2026 et que l'ANSSI a mis en ligne le 17 mars 2026 la version bêta de son référentiel de cybersécurité (ReCyF).
Un secteur structurellement vulnérable
Les établissements de santé cumulent plusieurs facteurs de vulnérabilité face aux cybermenaces. L'interconnexion croissante des systèmes d'information hospitaliers (SIH) avec des réseaux extérieurs (télémédecine, dossier médical partagé, dispositifs médicaux connectés, applications de gestion) multiplie les surfaces d'attaque. Le sous-investissement chronique dans les technologies numériques — héritage de décennies de contrainte budgétaire hospitalière — a laissé de nombreux systèmes obsolètes et mal protégés. Le facteur humain constitue la première faille : selon les études disponibles, environ 70 % des cyberattaques réussies dans les hôpitaux exploitent des erreurs humaines (mots de passe faibles, ouverture de courriels frauduleux, mauvaise gestion des accès).
La Cour des comptes, dans un rapport publié le 3 janvier 2025, a dressé un état des lieux préoccupant. Les hôpitaux se situent au troisième rang des secteurs les plus touchés par les cyberattaques en France, après les collectivités territoriales et les entreprises. Entre 2022 et 2023, plus de 30 hôpitaux ont été victimes de rançongiciels. En 2023, 10 % des victimes de cyberattaques recensées par l'ANSSI étaient des établissements de santé. Le coût moyen d'une cyberattaque majeure pour un hôpital est estimé à 10 millions d'euros (gestion de crise et reconstruction du système) et 20 millions d'euros de perte d'exploitation. Le temps moyen de reconstruction complète d'un SIH après une attaque majeure est de 18 mois.
L'année 2025-2026 a été marquée par une attaque d'envergure inédite : fin 2025, une cyberattaque contre le logiciel Cegedim Santé a compromis les données administratives d'environ 15 millions de patients français, concernant 1 500 médecins. Le parquet de Paris a ouvert une enquête pour atteinte à un système automatisé de données.
La directive NIS 2 : un cadre européen contraignant
La directive NIS 2 (directive UE 2022/2555 du 14 décembre 2022, abrogeant la directive NIS 1 de 2016) constitue le pilier de la réglementation européenne en matière de cybersécurité des infrastructures critiques. Elle devait être transposée par les États membres avant le 17 octobre 2024. La France accuse un retard significatif : le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été déposé le 15 octobre 2024, adopté en première lecture par le Sénat en mars 2025, mais n'a pas encore achevé son parcours législatif. La transposition est désormais attendue pour le printemps 2026.
La directive NIS 2 distingue deux catégories d'entités soumises à des obligations différenciées :
Les entités essentielles (EE), soumises aux obligations les plus exigeantes, comprennent les entreprises de plus de 250 salariés ou réalisant plus de 50 millions d'euros de chiffre d'affaires dans des secteurs « hautement critiques » (énergie, transports, santé, eau, infrastructures numériques, administration publique, espace), ainsi que les régions, départements, communes de plus de 30 000 habitants, les communautés urbaines et d'agglomération, et les établissements publics exerçant des activités critiques. Les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux ont été explicitement qualifiés d'entités essentielles par amendement parlementaire, pour lever toute ambiguïté.
Les entités importantes (EI), soumises à des obligations allégées, comprennent les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans des secteurs « critiques », les communautés de communes et les établissements d'enseignement menant des activités de recherche.
Les obligations imposées par NIS 2 portent sur quatre piliers : l'analyse de risque (diagnostic technique, organisationnel, humain et systémique), la notification des incidents de sécurité à l'ANSSI dans des délais encadrés, la mise en œuvre de mesures de sécurité proportionnées (conformes au référentiel ReCyF publié par l'ANSSI le 17 mars 2026), et la responsabilité personnelle des dirigeants (sanctions pouvant aller jusqu'à la suspension temporaire de fonctions de direction pour les entités essentielles). Les amendes peuvent atteindre 2 % du chiffre d'affaires mondial (et 10 millions d'euros maximum) pour les entités essentielles, 1,4 % (et 7 millions d'euros) pour les entités importantes. Une période transitoire de trois ans est toutefois prévue pour la mise en conformité.
La réponse des pouvoirs publics : le programme CaRE et l'écosystème de la cybersécurité en santé
Face à la multiplication des cyberattaques contre les hôpitaux, les pouvoirs publics ont structuré une réponse à plusieurs niveaux.
Le programme CaRE (Cyberaccélération et résilience des établissements), piloté par la Délégation au numérique en santé (DNS) et mis en œuvre par l'ANS, prévoit un investissement de 750 millions d'euros sur la période 2023-2027 pour la sécurisation des systèmes d'information hospitaliers. Ce financement s'inscrit dans le cadre plus large du Ségur du numérique en santé (250 millions d'euros de crédits dédiés jusqu'en 2025 dans un premier temps). Plus de 2 000 exercices de crise cyber ont été réalisés dans les établissements sur la base d'un kit standardisé. Le dispositif Hospiconnect, introduit début 2026, vise à sécuriser les accès aux services numériques sensibles via la double authentification.
La gouvernance a été renforcée en mai 2023, avec l'élévation de la DNS au rang de direction d'administration centrale et la publication de la feuille de route du numérique en santé 2023-2027. La certification des hôpitaux par la Haute Autorité de santé (HAS) inclut désormais un volet cybersécurité. L'ANSSI et l'ANS assurent un accompagnement technique : guides de bonnes pratiques, audits de sécurité financés, plateforme MonEspaceNIS2 pour le pré-enregistrement volontaire des entités.
Le premier bilan est encourageant mais insuffisant. L'étude ANS/Occurrence de 2025 montre que 86 % des directions générales s'impliquent désormais dans les exercices de crise cyber et que 72 % des directeurs interviennent personnellement dans l'élaboration du plan de prévention. Mais 42 % estiment ne pas disposer des moyens suffisants, et de nombreux établissements — en particulier les plus petits — ne disposent ni de responsable de la sécurité des systèmes d'information (RSSI) ni de direction des systèmes d'information (DSI) dédiée.
L'articulation avec le droit des données de santé
La cybersécurité hospitalière s'inscrit dans un cadre réglementaire plus large de protection des données de santé. Le RGPD (règlement UE 2016/679) impose des obligations spécifiques pour le traitement des données de santé, qualifiées de « catégorie particulière » (art. 9). La loi Informatique et Libertés (modifiée) et le code de la santé publique encadrent l'hébergement des données de santé (certification HDS, art. L. 1111-8 CSP). Le décret du 27 avril 2022 a rendu obligatoire le signalement des incidents significatifs ou graves de sécurité des systèmes d'information de santé à l'ANS (portail de signalement des événements sanitaires indésirables). Un futur décret sur l'hébergement des données de santé, validé au niveau européen, imposera un stockage au sein de l'UE et une transparence accrue sur les risques de transfert hors UE — une exigence directement liée au débat sur la souveraineté numérique et au recours aux solutions de cloud américaines (AWS, Azure, Google Cloud) par les établissements de santé.
Enjeux pour les concours
La cybersécurité des établissements de santé est un sujet transversal qui mobilise le droit du numérique, le droit de l'Union européenne, les institutions administratives et la santé publique. Le candidat doit maîtriser l'architecture réglementaire à trois niveaux : le droit de l'Union (directive NIS 2, RGPD art. 9, règlement DORA pour le secteur financier comme lex specialis), le droit national en cours de transposition (projet de loi Résilience, référentiel ReCyF de l'ANSSI du 17 mars 2026, décret du 27 avril 2022 sur le signalement des incidents, certification HDS), et l'organisation institutionnelle (rôles respectifs de l'ANSSI, de l'ANS, de la DNS, de la CNIL et de la HAS). La distinction entre « entités essentielles » et « entités importantes » constitue la clé de voûte du nouveau régime, avec des obligations et des sanctions graduées. Le programme CaRE (750 millions d'euros, 2023-2027) et le Ségur du numérique en santé illustrent l'investissement public dans la résilience cyber, tandis que le taux de 42 % de directeurs estimant leurs moyens insuffisants pose la question de l'adéquation entre les exigences normatives et les capacités financières et humaines des établissements. L'affaire Cegedim Santé (15 millions de dossiers compromis) rappelle que la chaîne de sous-traitance numérique constitue une vulnérabilité systémique, justifiant les obligations NIS 2 sur la sécurité de la chaîne d'approvisionnement (art. 21§2 d de la directive).