Une menace cyber persistante, une préparation encore insuffisante : telle est la photographie des établissements de santé français dressée par une enquête menée par Occurrence (Ifop) auprès de 719 directeurs.
Selon cette étude, 15 % des hôpitaux et cliniques ont été confrontés à un incident cyber « perturbateur » au cours des trois dernières années. Parmi eux, près d’un tiers (32 %) se jugeaient insuffisamment préparés au moment de l’attaque.
Des risques identifiés
Ce constat met en lumière un paradoxe : si la prise de conscience du risque est désormais réelle au sein des directions, le niveau de préparation demeure hétérogène. Seuls 15 % des établissements touchés estiment avoir été bien préparés, une proportion similaire à celle observée chez les structures non affectées (13 %). Pourtant, la gouvernance est largement impliquée : deux tiers des directeurs ont récemment échangé avec leur équipe de sécurité des systèmes d’information, et près de 87 % déclarent connaître leur plan de prévention cyber.
Les dirigeants identifient clairement les conséquences potentielles d’une cyberattaque. En tête des préoccupations figure la continuité des soins, suivie des impacts financiers, de la qualité de vie au travail et de la sécurité des patients. Des enjeux qui dépassent largement la seule sphère technique et touchent au cœur même de la mission hospitalière.
Des moyens limités face à une menace réelle
Malgré cela, les moyens alloués restent limités. Dans six établissements sur dix, la cybersécurité représente moins de 5 % des budgets informatiques, tant en investissement qu’en fonctionnement. Un décalage persistant entre ambitions affichées et ressources réellement mobilisées.
La dynamique de renforcement s’accélère néanmoins. Le programme Care (2023-2024) a contribué à sensibiliser les équipes, tandis que le dispositif Hospiconnect, introduit début 2026, vise à sécuriser les accès aux services numériques sensibles via des mécanismes comme la double authentification.
Hausse du niveau de sécurité en 2026
Dans le même temps, la menace continue de progresser. En 2025, les attaques par rançongiciel ont touché 8 % des établissements de santé, contre 4 % l’année précédente, perturbant parfois directement la prise en charge des patients, y compris dans les structures de petite taille.
Enfin, le cadre réglementaire se renforce. Le futur décret sur l’hébergement des données de santé, validé au niveau européen, imposera notamment un stockage des données au sein de l’Union européenne et une transparence accrue sur les risques de transfert hors UE. Sa mise en œuvre, attendue d’ici mai 2026, s’inscrit dans une stratégie globale visant à élever le niveau de sécurité du système de santé.
![[Vidéo] Reportage sur les opticiens en Ehpad : une expérimentation prometteuse face au vieillissement de la population](https://www.acuite.fr/sites/acuite.fr/files/styles/home_slider_video/public/articles/reportage_refraction_ehpad_opticien_lunettes_senior.png?itok=885hmxLm)
![[Vidéo] Les Ray-Ban Meta, une solution pour les déficients visuels ? Nous avons testé](https://www.acuite.fr/sites/acuite.fr/files/styles/home_slider_video/public/articles/test_rb_meta_mavoyant.png?itok=PQG6A-HL)