Cybersécurité des hôpitaux en France : pourquoi la conformité ne suffit plus
HoruSafe
Partout en France, les hôpitaux, cliniques et établissements médico‑sociaux sont en première ligne face aux cyberattaques, avec une forte hausse des incidents déclarés ces dernières années. Pour une direction d’hôpital ou un DSI, la question n’est plus de savoir si l’établissement sera ciblé, mais quand et avec quel niveau de préparation.
1. Un système de santé français sous pression
Entre 2022 et 2023, 30 hôpitaux français ont été victimes de cyberattaques par rançongiciel, soit environ 10% des incidents de ce type recensés par l’ANSSI sur la période. En 2024, les attaques se sont poursuivies, touchant notamment les hôpitaux d’Armentières et de Cannes, avec des perturbations importantes pour les services de soins.
Selon l’Observatoire des incidents de sécurité des systèmes d’information en santé, 749 incidents ont été déclarés en 2024 dans 558 établissements français, soit une hausse de 29% par rapport à 2023, reflet d’une prise de conscience et d’une meilleure remontée des incidents.
2. Conformité HDS et RGPD : une base nécessaire, mais pas suffisante
Les établissements de santé français investissent depuis plusieurs années pour se mettre en conformité avec les exigences HDS, le RGPD et les recommandations de l’ANSSI et de l’Agence du numérique en santé. Pourtant, une part importante des incidents récents reste liée à des vulnérabilités techniques : systèmes obsolètes, mauvaises configurations, accès distants mal protégés ou défauts de segmentation réseau.
La conformité “sur le papier” ne garantit donc pas l’absence de failles exploitables en conditions réelles, ce qui laisse une zone de risque opérationnel, juridique et réputationnel pour les établissements.
3. Pourquoi mobiliser des hackers éthiques au niveau national ?
Les cybercriminels ciblent particulièrement le secteur de la santé, qui combine criticité des infrastructures, données hautement sensibles et forte pression opérationnelle. Pour répondre à ce niveau de menace, de plus en plus d’acteurs publics français s’appuient sur des programmes de bug bounty, en invitant des hackers éthiques à détecter et signaler les failles de sécurité.
L’État lui‑même recourt à ce modèle pour des services numériques stratégiques comme FranceConnect, AgentConnect, France Identité ou des services de santé publique, en offrant des primes significatives aux chercheurs qui remontent des vulnérabilités avérées.
4. Comment HoruSafe accompagne les hôpitaux et cliniques en France ?
HoruSafe agit comme un tiers de confiance entre les établissements de soins français (hôpitaux publics, CHU, cliniques privées, centres de soins) et une communauté sélectionnée de hackers éthiques, dans un cadre juridique strict et conforme au RGPD. Les règles de test sont précisément définies : périmètre autorisé, types d’actions permises, gestion de la confidentialité et des données, procédures de divulgation responsable.
Concrètement, un établissement peut prioriser ses périmètres critiques (portail patient, SIH, messagerie, VPN, APIs métiers), lancer une campagne de tests, puis recevoir des rapports vérifiés par HoruSafe, qui ne remontent que des vulnérabilités exploitables, qualifiées et priorisées.