Cybersécurité secteur santé

Santé : un secteur sous pression cyber constante

Le secteur de la santé est l'un des plus ciblés en France comme en Europe. Selon le Panorama de la cybermenace 2025 de l'ANSSI (mars 2026), la santé figure parmi les quatre secteurs les plus visés en France, représentant 10 % des incidents traités par l'Agence. À l'échelle européenne, la situation est tout aussi préoccupante : en 2023, les pays de l'UE ont signalé 309 incidents de cybersécurité importants dans le secteur des soins de santé, soit plus que dans tout autre secteur critique, selon la Commission européenne.

1. Rançongiciels (ransomware)

La menace la plus dévastatrice pour les établissements de santé. Selon une question écrite à l'Assemblée nationale (2025), l'instruction DNS/2025/12 publiée au Bulletin officiel santé classe désormais les hôpitaux parmi les "cibles majeures" de la cybercriminalité, au même niveau que les opérateurs d'importance vitale. Plus de quarante rançongiciels ont frappé des structures hospitalières françaises en 2024, et 18 incidents avaient déjà été recensés sur les seuls cinq premiers mois de 2025. Lors d'une attaque, les attaquants cherchent à chiffrer les données des établissements mais aussi leurs sauvegardes, rendant la reprise d'activité particulièrement complexe, avec des pertes de données massives et critiques, selon le ministère de la Santé.

2. Phishing & hameçonnage

La porte d'entrée principale. Un email usurpant l'identité d'un éditeur de logiciel médical, d'une ARS ou d'un organisme de sécurité sociale suffit à compromettre les accès à l'ensemble du système d'information hospitalier. Le rapport d'activité 2025 de Cybermalveillance.gouv.fr signale un bond de 70 % des incidents liés à l'hameçonnage, tous secteurs confondus, avec le secteur de la santé explicitement cité parmi les domaines touchés par les violations de données.

3. Violations de données de santé

Les données de santé sont parmi les plus sensibles et les plus convoitées. En 2025, Cybermalveillance.gouv.fr a enregistré une hausse de 107 % des demandes d'assistance concernant les violations de données, les acteurs du monde de la santé étant explicitement cités parmi les secteurs les plus touchés. Une fuite de données médicales expose l'établissement à des sanctions de la CNIL et met en danger la vie privée des patients.

4. Fraude au virement (FOVI)

Les services administratifs et comptables des établissements de santé sont également ciblés par des tentatives de fraude au président ou de substitution de RIB fournisseur, notamment dans le cadre de la dématérialisation croissante de la facturation.

Sources : Cybermalveillance.gouv.fr, ANSSI — Panorama de la cybermenace 2025

Soignants et personnels administratifs : former tout le monde, sans exception

Les établissements de santé concentrent des profils très hétérogènes : médecins, infirmiers, aides-soignants, agents administratifs, techniciens, dont la culture numérique et la sensibilisation aux cybermenaces varient considérablement.

Le ministère de la Santé reconnaît explicitement que les établissements de santé sont la cible de nombreuses attaques pouvant les paralyser en tout ou partie. Mais les outils techniques ne suffisent pas.

"La sensibilisation du personnel est le complément indispensable à toute politique de cybersécurité."

Ministère de la Santé, programme CaRE

Soignants et personnels administratifs cybersécurité

10 %

des incidents sont dans le secteur de la santé en 2025

ANSSI

309 des incidents

importants rapportés en Union Européenne

secteur santé 2025

+70 %

des incidents sont du phishing

Cybermalveillance.gouv.fr

+107 %

des violations de données

Demandes assistance 2025

Sencybeo : former toutes vos équipes, des soignants jusqu'aux administratifs

Qu'il s'agisse d'un hôpital de 500 agents, d'un EHPAD de 80 salariés ou d'un cabinet médical, Sencybeo s'adapte à votre structure sans intervention technique et sans compétences en cybersécurité requises.

1

Tests de phishing simulés

Simulez des attaques réalistes adaptées au contexte santé : faux email d'un éditeur de DPI, notification urgente de l'ARS, alerte de sécurité de la DSI, demande de mise à jour d'identifiants. Identifiez les agents les plus exposés et déclenchez automatiquement des formations ciblées. Selon nos données clients, 32 % des utilisateurs cliquent lors d'un premier test — un taux qui chute significativement après quelques campagnes.

Découvrir les tests de phishing ⟶
2

Quiz cybersécurité

Plus de 400 questions interactives couvrant les thématiques prioritaires pour le secteur santé : protection des données patients, gestion des accès et mots de passe, RGPD appliqué à la santé, bons réflexes face aux emails suspects, sécurité des dispositifs mobiles. Accessibles depuis n'importe quel poste, sans installation.

Découvrir les quiz ⟶
3

Tutoriels de sensibilisation

Des modules courts et illustrés pour former chaque agent à son rythme, y compris le personnel soignant peu habitué aux outils numériques. La plateforme permet également d'intégrer vos propres contenus : politique de sécurité interne, procédure de signalement des incidents, charte informatique de l'établissement.

Découvrir les tutoriels ⟶

CaRE & NIS2... Répondez à vos obligations réglementaires

Le secteur de la santé est soumis à un cadre réglementaire parmi les plus exigeants en matière de protection des données et de cybersécurité.

RGPD

Les données de santé sont des données sensibles dont le traitement est encadré par l'article 9 du RGPD et l'article 44 de la loi Informatique et Libertés. La CNIL prévoit des formalités préalables spécifiques pour les traitements de données de santé. Toute violation doit être notifiée à la CNIL dans les 72h et, selon sa gravité, aux personnes concernées. La sensibilisation des personnels est l'une des mesures techniques et organisationnelles attendues par la réglementation.

Programme CaRE & NIS2

Le programme CaRE, lancé fin 2023 par le ministère de la Santé, a engagé 120 M€ pour financer l'amélioration de la cybersécurité et la résilience des établissements de santé. La sensibilisation des personnels fait partie des axes de renforcement attendus. Par ailleurs, les établissements de santé entrent dans le périmètre de la directive NIS2, dont la transposition en droit français est en cours via le projet de loi Résilience.

Hébergement de données de santé (HDS)

Tout prestataire traitant des données de santé en sous-traitance doit être certifié hébergeur de données de santé (HDS), conformément aux dispositions de l'article L. 1111-8 du code de la santé publique, selon la CNIL. Sencybeo accompagne ses clients dans la compréhension de ces obligations.

Instruction DNS/2025/12

L'instruction DNS/2025/12, publiée au Bulletin officiel santé, classe désormais les hôpitaux parmi les "cibles majeures" de la cybercriminalité, au même niveau que les opérateurs d'importance vitale. Cette reconnaissance officielle renforce l'obligation morale et réglementaire des établissements d'agir sur la formation de leurs personnels.

Questions fréquentes

Oui, massivement. Selon les données du CERT Santé citées à l'Assemblée nationale, plus de quarante rançongiciels ont frappé des structures hospitalières françaises en 2024, avec 18 incidents supplémentaires recensés sur les seuls cinq premiers mois de 2025. À l'échelle européenne, la Commission européenne rappelle que le secteur de la santé est celui qui enregistre le plus grand nombre d'incidents de cybersécurité importants parmi tous les secteurs critiques. Aucun établissement n'est à l'abri, quelle que soit sa taille.

Oui. Les contenus Sencybeo sont conçus pour tous les profils, y compris les soignants sans formation numérique. Les modules sont courts, illustrés et progressifs, avec pour objectif de transformer des réflexes quotidiens — vérifier l'expéditeur d'un email, signaler un lien suspect — en habitudes ancrées. La formation ne nécessite aucune installation ni intervention de la DSI.

Le RGPD, via la loi Informatique et Libertés, impose aux responsables de traitement du secteur santé la mise en place de mesures techniques et organisationnelles pour protéger les données des patients. La sensibilisation du personnel est reconnue par la CNIL comme l'une de ces mesures organisationnelles indispensables. Le programme CaRE et la future loi Résilience (NIS2) renforcent ces exigences pour les établissements hospitaliers et médico-sociaux.

Oui. Sencybeo est conçu pour des structures de toutes tailles, sans seuil minimum d'utilisateurs. Un EHPAD de 40 salariés ou un cabinet médical de 10 praticiens peut déployer la plateforme aussi facilement qu'un grand CHU. Aucune compétence technique n'est requise côté établissement.

Oui. Sencybeo permet d'intégrer vos propres contenus directement dans la plateforme : politique de sécurité des systèmes d'information (PSSI), procédure de signalement des incidents, charte informatique, consignes spécifiques au dossier patient informatisé. Vos équipes accèdent ainsi à un espace de formation centralisé, cohérent avec les pratiques de votre établissement.
Phishing
Simulation de phishing gratuite !