"Les cyberattaques contre les hôpitaux restent à un niveau élevé" : l'alerte du patron de l’Agence du numérique en santé

L'Agence du numérique en santé organise ce jeudi 12 mars la première édition de ses Rencontres nationales. A cette occasion, son directeur général Jean-Christophe Zerbini dévoile dans L'Express les derniers chiffres des incidents de cybersécurité relevés l'an dernier dans les hôpitaux. Avec un message clé : parce qu'il ne sera pas possible d'empêcher les cyberattaques, les établissements doivent améliorer leur protection, mais surtout renforcer leurs capacités de réaction. Jean-Christophe Zerbini s'exprime pour la première fois aussi sur la fuite de données de patients constatée au sein de l'éditeur de logiciel médicaux Cegedim, et en tire les leçons. Entretien exclusif.

L'Express : L’affaire Cegedim a montré à quel point le champ de la santé restait fragile face aux cyberattaques. Qu’en est-il dans les établissements de santé ?

Jean-Christophe Zerbini : La loi oblige les hôpitaux et les cliniques à déclarer les incidents : 764 ont été recensés en 2025. Les cyberattaques semblent donc se stabiliser, mais à un niveau encore trop élevé. Ce volume est en effet à peu près similaire à ceux constatés en 2024 et 2023, ce qui représente un quadruplement par rapport à 2020. La réalité, c’est que les attaques vont continuer, nous ne pouvons pas les empêcher. Des hackers trouveront toujours à un moment ou à un autre un moyen de passer, le risque ne disparaîtra jamais totalement. L’enjeu est donc de renforcer la prévention, la détection et la capacité de réaction des établissements. Notons que 582 structures ont aussi fait l’objet d’alertes relatives à vulnérabilités exposées ou des identifiants compromis.

L’Agence du numérique en santé publie ce jeudi une étude inédite sur la préparation des établissements de soins en matière de cybersécurité. Que révèle-t-elle ?

Nous avons interrogé 719 directeurs d’hôpitaux et de cliniques, et notre enquête montre qu’ils sont aujourd’hui très largement sensibilisés aux questions de sécurité informatique. Ils sont conscients des risques liés à ces attaques, et impliqués dans la cybergouvernance de leur établissement. 87 % connaissent le plan de prévention cyber, 72 % disent y avoir personnellement participé.

La direction générale est quasiment systématiquement impliquée dans les exercices de crise. La prise de conscience est donc réelle, d’autant qu’ils mesurent bien l’impact de ces attaques sur la qualité des soins et la capacité à accueillir des patients. En termes économiques, ils en estiment le coût de l’ordre de 1,5 million d’euros, à la fois en pertes de recettes et en coûts supplémentaires puisqu’il faut souvent mobiliser du personnel supplémentaire pour faire face à ce type de crise.

En même temps, 13 % seulement disent se sentir "bien préparés"…

C'est frappant, mais il peut être délicat de se sentir prêt face à de telles attaques, dont on ne sait jamais quand elles vont arriver, ni quelles formes elles prendront. La réalité, c’est que l’on ne peut jamais être vraiment totalement prêt. Ce qu’il faut, c’est savoir quoi faire, comment s’organiser, pour assurer la continuité des soins.

L'enquête pointe aussi un manque de moyens persistant...

Effectivement, 42 % des directeurs estiment ne pas avoir les ressources suffisantes pour élaborer un plan de prévention au bon niveau — c'est encore plus marqué dans les établissements publics. Les actions que les établissements se disent en mesure d'engager financièrement sont les moins coûteuses : la formation du personnel, les exercices de crise, l'actualisation des documents. La partie technique, le renforcement des infrastructures, reste prioritaire dans les intentions mais paraît plus difficile à financer.

Justement, comment agit l’Etat pour renforcer le niveau de cybersécurité des établissements ?

Le programme CaRE — Cybersécurité Accélération et Résilience des Établissements — a été lancé dès 2023, et doté de 750 millions d'euros sur cinq ans. Nous avons commencé par la sensibilisation des utilisateurs, parce que c'était vraiment le maillon faible. Une grande partie des attaques commencent par un simple courriel frauduleux très bien ciblé. Je peux vous donner un exemple concret : quand je travaillais dans un hôpital, notre directeur financier a reçu un mail pour une cagnotte Leetchi destinée à une collègue qui partait à la retraite, avec le bon prénom. Au moment où il a cliqué, la moitié du système d'information s'est arrêtée... Diffuser une culture de sécurité et de vigilance faisait donc partie de nos premiers objectifs.

Ce programme a aussi servi à cofinancer des investissements en matériel informatique. Il a également pour objectif d'inciter à l’organisation d’exercices de crise. De la même façon que les établissements testent régulièrement leur capacité à répondre à un événement sanitaire de grande ampleur (accident impliquant de nombreuses victimes, attentat...), ils peuvent en effet s’exercer à réagir face à un incident majeur de cybersécurité. Près de 90 % des établissements de santé ont réalisé des exercices de crise en 2023 et 2024. Le dernier volet du programme Care consiste à renforcer l’authentification des professionnels de santé. Il ne s’agit plus de s’appuyer simplement sur un mot de passe, mais sur un système de double authentification avec une carte physique, comme une clé pour déverrouiller un ordinateur.

Dans quelle mesure l'ANS a-t-elle été concernée par l’affaire Cegedim ?

Même si notre mission concerne d’abord les établissements de santé, une attaque sur une structure de l’écosystème de santé peut avoir des répercussions sur l’ensemble du système. Nous sommes donc en lien avec les acteurs concernés pour partager les informations et renforcer la vigilance. A travers un éditeur de logiciels destinés aux professionnels libéraux, un hacker pourrait atteindre monespacesante.fr ou un hôpital. Nous sommes donc fondés à intervenir. Après la révélation par les médias de la fuite de données, Cegedim s'est aperçu d'un accroissement de tentatives d'intrusion sur leurs plateformes et nous a demandé de l’aide. Nous les avons conseillés et accompagnés.

Quelles leçons en tirez-vous ?

Les pouvoirs publics et les éditeurs doivent travailler main dans la main, parce que quand eux se font hacker, c'est tout le système qui en pâtit. Il faudra des retours d'expérience pour mieux analyser l’origine des failles. Par ailleurs, un décret récent renforce les exigences de sécurité pour les éditeurs référencés et nous permettra de mieux nous assurer du respect de ces obligations.